Artikel
12 jun '18
12 juni '18
3 min

De AVG is een feit. Hoe staat uw organisatie ervoor?

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) ingegaan. Organisaties in de publieke sector werken veel met privacygevoelige gegevens. De impact van de wet is daardoor groter dan bij andere organisaties. Maar wat zijn nu precies de risico’s in het kader van de AVG? Wat verwacht de Autoriteit Persoonsgegevens? En hoe kunt u hier het beste mee omgaan? Wij zetten het op een rijtje.

Burgers zijn zich steeds meer bewust van de hoeveelheid persoonsgegevens die organisaties verzamelen. Enerzijds door de aandacht die de AVG krijgt en anderzijds door de huidige discussies rondom grote dataverwerkers en social mediabedrijven zoals de Kamer van Koophandel en Facebook. Dit leidt ertoe dat de burger steeds meer kritische vragen stelt: Welke persoonsgegevens worden er van mij verzameld? Met welk doel? Met welke partijen worden mijn persoonsgegevens gedeeld? En hoe zijn mijn gegevens beveiligd? Allemaal vragen waar organisaties met de introductie van de AVG antwoord op moeten geven. Naast het risico op imagoschade en een vertrouwensbreuk, loopt een organisatie het risico op hoge boetes van de Autoriteit Persoonsgegevens (AP) als de vragen van de burger niet adequaat beantwoord kunnen worden. De AP start met een schriftelijke waarschuwing maar als u niet tijdig kunt onderbouwen dat u voldoet aan de privacywet, kunnen de boetes oplopen tot 4% van de wereldwijde jaaromzet.

Basis op orde: privacy stopt niet bij uw organisatie

Als organisatie moet u aantonen aan betrokkenen (de personen van wie u gegevens verwerkt) en aan de AP dat u zorgvuldig omgaat met persoonsgegevens en welke maatregelen u hiervoor neemt. Om dit aan te tonen, maakt u eerst inzichtelijk welke persoonsgegevens u allemaal verzamelt. Dit legt u vast in een verwerkingsregister. Op basis van dit verwerkingsregister maakt u vervolgens een inschatting van de privacy risico’s en beoordeelt u welke aanvullende maatregelen de risico’s verkleinen.

Naast het gebruik van data voor uw eigen organisatie, is het nodig om te weten welke externe partijen de persoonsgegevens van uw klanten, medewerkers e.d. verwerken. Met deze partijen maakt u duidelijke afspraken over hoe zij om moeten gaan met ‘uw’ persoonsgegevens: voor welk doel mag de externe partij de persoonsgegevens verwerken, welke beveiligingsmaatregelen moet ze nemen, wat moet ze doen in het geval van een datalek, enz. U blijft namelijk primair verantwoordelijk richting de betrokkene dat er zorgvuldig om wordt gegaan met de persoonsgegevens.

Privacy-bewustzijn medewerkers

Wat misschien nog wel het allerbelangrijkste is, is bewustzijn rondom privacy bij uw medewerkers. Zij werken immers (dagelijks) met privacygevoelige informatie. Hoe zij hiermee om moeten gaan in hun dagelijkse werkzaamheden. Dit onderdeel wordt bij veel organisaties vergeten. Het privacy-bewustzijn kunt u vergroten via een training, e-learning of hulpmiddelen met praktische tips voor de dagelijkse uitvoering. Voorkomen is beter dan genezen. Gaat het toch fout? Dan is snelheid geboden. Zorg ervoor dat medewerkers weten hoe ze een (potentieel) datalek herkennen en ze in de organisatie melding moeten maken.

Privacy is een onderwerp wat continu aandacht behoeft. Denk dus ook na over hoe u gaat monitoren dat het verwerkingsregister up-to-date blijft, hoe u omgaat met nieuwe projecten en applicaties of hoe u zorgt dat uw medewerkers privacy bewust blijven. Zorg niet alleen dat u nu privacy proof bent, maar ook dat u privacy proof blijft.