Print:

AVG compliant: hoe dan? Privacyjurist Joyce de Jong licht toe

Nog maar vijf maanden en dan is de Algemene Verordening Gegevensbescherming (AVG) daadwerkelijk van toepassing. Vanaf 25 mei mag de Autoriteit Persoonsgegevens boetes uit gaan delen aan organisaties die niet voldoen aan de Europese privacywetgeving. Onze Privacyjurist en -consultant Joyce de Jong ondersteunt veel diverse organisaties in hun tocht naar privacycompliance. Wat ziet Joyce gebeuren en welke tips kan zij meegeven aan andere organisaties?

360 graden klantenbeeld: waarom zo breed?

Om een klant zo goed mogelijk te helpen, heeft de organisatie zoveel mogelijk informatie van hem of haar nodig. Correct? ‘’Nee, zo werkt het niet. Een organisatie mag alleen gegevens verwerken welke zij nodig heeft voor een specifiek gedefinieerd doel. Zo is het logisch dat een ziekenhuis medische informatie nodig heeft, maar dat een woningcorporatie deze gegevens niet mag verwerken. Dit klinkt als een simpel voorbeeld, maar dit gaat regelmatig mis. Het is -voor de klant zelf, maar ook voor de organisatie- beter als er zo min mogelijk informatie wordt opgeslagen. Dan kan er namelijk minder informatie worden gelekt of gehackt.’’

Tip van Joyce: ‘’De kans dat medewerkers een beleid gaan lezen over wat wel en niet verwerkt mag worden, is zeer klein. Breng daarom als privacy-verantwoordelijke heel duidelijk en grafisch in beeld wat een medewerker mag verwerken. Door bijvoorbeeld een infographic te verspreiden, worden medewerkers vlotter geïnformeerd.’’

Externe partijen: waarom geen informatie meer delen?

Bij organisaties zijn er veel communicatiestromingen met externe partijen, zoals met overheden en leveranciers. Echter, met de nieuwe privacywetgeving mag niet alles zomaar gedeeld worden. ‘’Er moeten convenanten zijn afgesloten met alle partijen waar persoonsgegevens mee gedeeld wordt. We merken dat het implementeren van deze convenanten binnen de organisatie zelf soms wat ongemakkelijkheid met zich meebrengt. Zo vinden sommige medewerkers het lastig om opeens ‘nee’ te moeten zeggen bij een vraag om gegevens door te sturen. Belangrijk hierbij is dat medewerkers ook begrijpen waarom ze nee moeten zeggen’’, aldus Joyce.

Tip van Joyce: ‘’Is er in de convenanten die u met derde partijen heeft afgesloten voldoende rekening gehouden met privacywetgeving? Zo zijn er onder andere twee belangrijke onderdelen die opgenomen moeten worden in het convenant. Ten eerste hebben betrokkenen het recht om geïnformeerd te worden over de gegevensdeling. Ten tweede moet de juiste rechtsgrond uit de AVG voor de gegevensdeling benoemd worden. Zonder rechtsgrond mogen er immers geen gegevens gedeeld worden. ‘’

De mens: waarom niet op de hoogte?

‘’Medewerkers zijn de zwakste schakel op het gebied van het beschermen van (gevoelige) gegevens. Een systeem kan technisch nog zo goed beveiligd zijn, maar als een medewerker op een link in een phishingmail klikt, kan er alsnog ingebroken worden en gegevens gestolen worden. Daarom raden we organisaties altijd met klem aan om niet alleen aandacht te besteden aan IT en organisatie, maar ook juist aan het bewustzijn van de medewerkers.’’

Tip van Joyce: Joyce de Jong geeft aan dat awarenesscampagnes veel nut hebben bij het bewust maken van medewerkers bij het helpen beveiligen van (gevoelige) informatie. ‘’Bij organisaties waar ze bezig zijn met awarenesscampagnes merken we dat medewerkers snel door hebben dat privacy een belangrijk onderwerp is. Een privacywerkgroep verwacht vaak weerstand vanuit de medewerkers, maar de ervaring is dat mensen een groot verantwoordelijkheidsgevoel hebben en dat de informatie over het beschermen van (gevoelige) informatie snel wordt opgepikt.’’

Documentatieplicht: waarom bestaat dat!?

Dat is een vraag die vaak aan Joyce de Jong gesteld wordt. ‘’Ik begrijp heel goed waar die vraag vandaan komt. Het voelt heel onzinnig om te documenteren wat je aan gegevens vastlegt. Wat echter de meerwaarde is van deze documentatieplicht, is dat er beter wordt nagedacht over wat er wordt vastgelegd en waarom. Zie het als een stukje Privacy by Design. ‘’

Tip van Joyce: Vul het verwerkingenregister per proces in, in plaats van alleen op hoofdlijnen. ‘’Op deze manier kunnen de processen direct getoetst worden aan de eisen van de Algemene Verordening Gegevensbescherming. Indien een proces dan niet voldoet aan de AVG, is dat gelijk bekend en kan de Privacy Officer samen met de proceseigenaar aan de slag om ook dat proces privacycompliant te maken. Zo licht je stukje bij beetje de hele organisatie door.’’

AVG compliant en dan?

Organisaties dienen voor 25 mei 2018 compliant te zijn aan de Algemene Verordening Gegevensbescherming. Hopelijk bieden bovenstaande tips wat houvast bij het compliant raken. Maar… AVG compliant en dan? Dat is precies waar we het tijdens onze workshop op donderdag 22 februari om 15.30 uur over gaan hebben. ‘’Het is geweldig als organisaties straks compliant zijn aan de wetgeving; maar dit moeten ze ook vasthouden. Denk hierbij aan controle, maar ook aan incidentenmanagement.’’ Geïnteresseerd in een praktische aanpak voor het compliant blijven? Meld u dan aan voor de workshop AVG Compliant en dan? van Joyce de Jong.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten