ZBC Kennisbank

Anderhalf jaar AVG: waar staan we?

 
Je hebt een Functionaris Gegevensbescherming aangewezen, een privacybeleid opgesteld en verwerkersovereenkomsten ingeregeld. Je zult die Autoriteit Persoonsgegevens eens een poepie laten ruiken! Maar is dat wel zo?
 

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming. Dat is anderhalf jaar, maar toch blijken nog lang niet alle bedrijven hun privacybeleid op orde te hebben. ‘Onze activiteiten hebben geen gevolgen voor privacy van klanten’ is een veelgehoorde opvatting. Klopt dat wel? Denk bijvoorbeeld eens aan je salesmedewerkers die in het CRM-systeem opmerkingen over een klant plaatsen in het kader van relatiebeheer. “Kees is onlangs gescheiden” of “Rosanne kreeg in juni 2018 een zoon”. Goedbedoeld, maar wel privacygevoelige informatie.

Geen momentopname maar een proces

Wij merken dat veel bedrijven voldoen aan de AVG onterecht zien als een eenmalige actie. Om te blijven voldoen ben je als bedrijf constant bezig: begrijp je de privacyrisico’s? Is de informatie die je verzamelt wel passend bij het doel? Zijn we op een andere manier data gaan verwerken? Voldoet het privacybeleid dan nog wel? Allemaal zaken om continu alert op te zijn. En wat doe je als er iets misgaat? Dan moet je op zoek naar mogelijkheden om te verbeteren, want mocht je de AP op je dak krijgen, dan wil zij zien dat je er mee bezig bent. Om te voldoen aan de AVG moet je dus continu goed nadenken over bedrijfsprocessen en het eventuele effect daarvan op betrokkenen.

Gevoelige medewerkersinformatie

Ook als die betrokkenen alleen het eigen personeel betreffen zijn er privacyrisico’s. Wat dacht je van een BSN of kopie van een identiteitsbewijs op platforms als SharePoint of Google Drive? Een moment van onoplettendheid en die informatie komt in de verkeerde handen. Nog zo’n privacygevoelig intern document: het verzuimdossier. Een ongeoorloofde notitie over de burn-out van een collega kan gevolgen hebben voor de betrokkene, waar je niet bij stilstaat. Stel, die collega krijgt jaren later een interne carrièrekans. Door de notitie over die burn-out wordt zijn geschiktheid toch weer in twijfel getrokken. Dat is waar de hele AVG om draait en waarom de AP ingrijpt als er ernstige inbreuk wordt gepleegd.

Niet AVG compliant? Boete!

We kunnen het inmiddels allemaal dromen: op het niet naleven van de AVG staan boetes van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Maar hoe komt de AP erachter dat een bedrijf de privacywet niet naleeft? Zitten ze daar de hele dag detective te spelen? Niet bepaald; een traject begint vaak met iemand die klaagt, danwel direct bij de AP, danwel op bijvoorbeeld social media. Het komt ook voor dat journalisten de nieuwswaardige situaties oppikken en dan móet de AP wel optreden. Zo kreeg het HagaZiekenhuis een boete van 460.000 euro (zie ook: ‘Last onder dwangsom HagaZiekenhuis na datalek BN’er‘). Door een fout in de interne beveiliging bleken meerdere onbevoegde ziekenhuismedewerkers onnodig het medisch dossier van een BN’er in te kunnen zien. Of dit ook voor jouw organisatie een risico is hangt af van een aantal factoren (zie ook: ‘Zorginstellingen hoeven niet te schrikken van boete HagaZiekenhuis‘).

Ook kleine privacyinbreuk niet onbestraft

Toch worden niet alleen miljoenenbedrijven en zorginstellingen gecontroleerd; de AP krijgt veel meldingen binnen. Afhankelijk van het soort privacyinbreuk verdwijnt die melding vaak op een stapel en duurt het een paar weken voordat de AP een klacht onderzoekt. Het is even wachten, maar dan heb je ook wat. Is de verwerking van persoonsgegevens niet goed ingericht en blijk je inbreuk te hebben gepleegd, dan treedt de AP zeker op. Zo kun je als klein bedrijf dan alsnog verrast door een boete voor dat ene openbare privacygevoelige document over ziekteverzuim. Dat is zonde en kan voorkomen worden (zie ook: Pragmatische benadering AVG en privacy‘)

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Frank van Keulen | 4 februari 2020


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *