Uitgelicht
Algemene Verordening Gegevensbescherming:
moeite met voldoen aan de wet, of bouwen van vertrouwen?
Vanaf 25 mei a.s. is de Algemene Verordening Gegevensbescherming (AVG of GDPR) van toepassing. Deze wet regelt hoe en welke persoonsgegevens overheden, bedrijven en ook organisaties als scholen, sportclubs en andere verenigingen persoonsgegevens mogen verwerken. Persoonsgegevens zijn bijvoorbeeld naam, e-mailadres, geboortedatum, klantnummer, adres, man/vrouw-aanduiding en elk ander gegeven dat naar een persoon is te herleiden. En dat kan ook een foto zijn.
"Iedereen heeft recht op een zorgvuldige omgang met zijn persoonsgegevens."
Bron: Autoriteit Persoonsgegevens
Bovendien legt de wet een verantwoordingsplicht op, om op elk moment tot in detail te kunnen aantonen hoe welke gegevens door wie en waarvoor worden verwerkt. Veel organisaties worstelen nog met de implementatie, en/of hebben zelfs nog weinig zicht op de implicaties van de wet. Hoe ver bent u met invoering van de AVG? Wat zijn de knelpunten waar u in uw organisatie tegenaan loopt?
Impact en verantwoordelijkheid
De AVG heeft grote impact op zowel de bedrijfsvoering als werkmethoden en gedrag van medewerkers. Daarmee lijkt de nieuwe wet haaks te staan op de wens om de regeldruk terug te dringen. Maar er is de wetgever veel aan gelegen om natuurlijke personen het recht op bescherming van persoonsgegevens te bieden. Zeer regelmatig lezen we in de media over grootschalige datalekken. Dichter bij huis gaat het ook gemakkelijk mis: een cijferlijst van leerlingen op een prikbord gaat mogelijk al te ver. En welke (sport)vereniging heeft vooraf aan alle leden schriftelijke toestemming geregeld om de ledenlijst te verspreiden of op internet te plaatsen? Welke organisatie heeft zicht op wat er gebeurt met alle persoonlijke klantenlijstjes in spreadsheets of op de smartphones van medewerkers?
De technische mogelijkheden van gegevensverwerking ontwikkelen zich vele malen sneller dan het maatschappelijk bewustzijn van mogelijke consequenties. De verantwoordelijkheid voor adequate bescherming van persoonsgegevens legt de wetgever bij de hoogste leidinggevende (directie, bestuur) zonder mogelijkheid die verantwoordelijkheid te delegeren of uit te besteden. En de wetgever stelt serieuze sancties in het vooruitzicht bij het niet voldoen aan de wet.
AVG als kans
Laat dit echter niet uw drijfveer zijn. Wie de AVG beschouwt als vaststaand gegeven, kan zich met adequate implementatie van maatregelen juist onderscheiden. Als u kunt aantonen welke maatregelen zijn getroffen en hoe uw organisatie met persoonsgegevens omgaat, kunt u het vertrouwen in uw organisatie bij personeel, klanten en andere relaties juist versterken. Dat vergt wel serieuze inspanning: bewustwording en gedragsverandering van alle medewerkers, en waarschijnlijk verandering van werkprocessen en wellicht ook systemen. Uit allerlei bronnen zijn goedbedoelde checklists, modelovereenkomsten etc. te verkrijgen, die u wijzen op de stappen die nodig zijn om aan de AVG te gaan voldoen, om 'privacy compliant' te worden. Dergelijke hulpmiddelen zijn echter volstrekt onvoldoende; implementatie van de AVG is werk voor specialisten met grondige kennis van de AVG én veranderkundige competenties.
Valkuilen
Vaak voorkomende situaties die wij aantreffen bij implementatie van de AVG:
'op reis zonder spoorboekje':
praktische benadering, waarbij in enkele afdelingen, of voor bepaalde producten of klantengroepen acties zijn gestart, zonder overzicht of inzicht waar de AVG allemaal ingrijpt op de werkvloer en wat er precies nodig is om aan de wet te voldoen;
'papieren tijger':
juridische of beleidsmatige benadering waarbij vanuit de wettekst memo's, modelovereenkomsten e.d. worden opgesteld, die niet aansluiten bij de dagelijkse praktijk en die geen concrete handvatten bieden;
'bouwen zonder fundering':
geen (centraal ingericht) register van gegevensverwerkingen, waardoor documentatie versnipperd of niet beschikbaar is en zorgvuldige omgang met persoonsgegevens niet aantoonbaar is.
Effectieve aanpak
Implementatie van de AVG vraagt een grondige aanpak. Wie denkt met lange halen snel thuis te zijn, komt bedrogen uit. Want mocht zich wat voordoen, dan kunnen niet alleen sancties volgen, maar moet een organisatie alsnog - en in zeer beperkte tijd - alle benodigde maatregelen organiseren en doorvoeren.
"De TPF methodiek, toegepast door 190 professionals, helpt u op weg om snel GDPR compliant te worden."
Bron: The Privacy Factory
Het beste is een aanpak die aansluit bij uw eigen bedrijfsvoeringsprocessen, en die wordt uitgevoerd met mensen uit de organisatie onder (bege-)leiding van een specialist. Dat is de beste manier om mensen bewust te maken van de noodzaak om zorgvuldig met persoonsgegevens om te gaan. Vaak zal daar een cultuur- of gedragsverandering voor nodig zijn. Bijvoorbeeld als medewerkers geen eigen adres- of klantlijstjes mogen bijhouden, of als een klant of een lid inzage vraagt in al zijn of haar gegevens die door uw organisatie zijn bijgehouden.
Een dergelijke praktische aanpak is ontwikkeld door The Privacy Factory. Dit is een opleidingsinstituut, dat kandidaten - die zich daarvoor kwalificeren - traint om zich deze methodiek eigen te maken en grondige kennis van, en inzicht in de AVG verschaft.
De methodiek die zij hebben ontwikkeld, lijkt op de PDCA-cyclus (Plan-Do-Check-Act) die in vrijwel alle bedrijven en organisaties voorkomt. Door de werkprocessen als uitgangspunt te nemen voor het implementeren van de ruim 50 (wettelijk voorgeschreven!) taken, bouwt deze aanpak aan een solide fundament voor privacy compliance. En door medewerkers daarin rollen toe te bedelen, ontstaat niet alleen meer bewustzijn en inzicht, maar wordt de AVG ingebed in de organisatie. Tot slot bouwt u met deze aanpak het wettelijk verplichte register van gegevensverwerking voor uw organisatie. Daarin voldoet u aan de vereisten van de AVG (privacy compliance) én kunt u op elk moment aantonen hoe uw bedrijf of organisatie omgaat met verwerking van persoonsgegevens (accountability).
Professionele ondersteuning gewenst?
Inmiddels hebben bijna 200 professionals dit traject doorlopen en is de methodiek bij 150 organisaties succesvol ingezet voor implementatie van de AVG. Desgewenst help ik graag om ook uw bedrijf of organisatie privacy compliant te maken door de AVG te implementeren volgens deze methodiek.