nieuws

“Je bent nooit klaar met de AVG”

Digitaal werken

Bijna drie maanden na de invoering van de AVG is het stil geworden rondom de nieuwe privacywet. Verschillende experts vinden dat een slechte zaak. Voor jou, als managementondersteuner, hebben ze een aantal praktische adviezen en een beetje geruststelling.

“Je bent nooit klaar met de AVG”

De AVG-stress van dit voorjaar lijkt lang geleden. Dagelijks berichten in de media, mailboxen die overstroomden met toestemmingsverzoeken en bedrijven die in allerijl formulieren moesten aanpassen en verwerkingsregisters optuigen. En nu valt het stil…

Trainer en AVG-expert Bouke van Kleef is duidelijk in zijn observatie: “De AVG dreigt een containerbegrip te worden, zoals Het Nieuwe Werken. Er wordt veel over gepraat, maar niemand weet echt waar het over gaat.”

ICT-jurist Arnoud Engelfriet vergelijkt de AVG met duurzaam ondernemen. “Je bent als bedrijf nooit klaar met de AVG, net zoals je niet klaar bent met duurzaam ondernemen.” Met dit verschil dat er bij de AVG fikse boetes dreigen bij overtredingen.

Wat moeten we toch met die AVG?

Op de vraag of Nederlandse bedrijven klaar zijn voor de AVG denkt Bouke dat nog geen 10% op dit moment voldoet aan de wet. Arnoud Engelfriet stelt zelfs dat geen enkel bedrijf er ooit helemaal klaar mee zal zijn.

Doe normaal, denk na, en meld het als je iets geks ziet

En als je er nooit klaar voor bent, wat moet je dan met de AVG? Inger Sanders, woordvoerder bij de Autoriteit Persoonsgegevens, legt uit: “Het is een kwestie van bewustwording: is iedere medewerker, van secretaresse tot directie, zich bewust van het belang van een goede bescherming van de persoonsgegevens die door hun handen gaan?”

Arnoud pleit vooral voor het gebruik van gezond verstand. “Doe normaal, denk na, en meld het als je iets geks ziet,” zegt hij. “Denk aan een deelnemerslijst voor een evenement; print deze met alleen de hoogstnoodzakelijke informatie. Adressen hoeven hier niet op te staan.” Voor een intekenlijst op een congres voldoet meestal de naam en eventueel een telefoonnummer. Zet bijvoorbeeld dieetwensen op een aparte lijst die alleen naar de locatiemanager gaat.

Privacyvriendelijk werken: hoe het niet moet

Als voorbeeld van niet-privacyvriendelijk werken haalt Bouke van Kleef de ziekenhuisopname van realityster Barbie aan. Na haar opname bekeken maar liefst 85 medewerkers van het HagaZiekenhuis haar dossier zonder dat zij hier een medische noodzaak voor hadden. Alle betrokken medewerkers kregen een waarschuwing en worden bij een nieuwe overtreding ontslagen.

De AVG en managementondersteuners

‘Normaal doen en nadenken’, dat moet je dus met de AVG. Hoe verwerk je dat in je dagelijkse werkzaamheden? Eén van de belangrijkste verantwoordelijkheden van managementondersteuners is signaleren. Het bijhouden van een verwerkingsregister is niet jouw verantwoordelijkheid, maar met de verantwoordelijke overleggen welke activiteiten in dat register moeten wél.

In dezelfde lijn is het meestal niet jouw verantwoordelijkheid om ervoor te zorgen dat er een veilige (digitale) plaats is om persoonsgegevens op te slaan. Wel moet je de persoonsgegevens die je opslaat op de juiste plek opslaan. “E-mail en een gedeelde netwerkschijf zijn veelal niet AVG-compliant,” zegt Bouke daarover.

Training AVG op het secretariaat

Training AVG op het secretariaat

Denk je nu: “Help, ik heb geen idee hoe ik dit regel!” Ook voor die mensen heeft Bouke een advies, “Schud aan de boom, ga op zoek naar de juiste persoon in je organisatie en vraag advies.”

Vanuit de Autoriteit Persoonsgegevens geeft Inger het advies om goed te kijken naar de beveiliging en afspraken binnen de organisatie. “Maak goede afspraken: welke collega’s mogen deze gegevens verwerken, wie is er geautoriseerd, is dat echt nodig?”

AVG is een kaderwet, geen harde wet

Dat veel bedrijven nog niet klaar zijn voor de AVG en medewerkers nog niet goed weten hoe ze echt privacybewust werken heeft een aantal redenen. “De AVG is een kaderwet”, aldus Arnoud, “veel van de onderdelen hebben geen harde regels. Dit is gedaan vanuit de gedachte dat voor een kleine tandarts andere regels moeten gelden dan voor een groot ziekenhuis.”

Een voorbeeld van zo’n kader zijn de bewaartermijnen van documenten. Voor sommige zijn duidelijke richtlijnen, sollicitaties bijvoorbeeld, maar voor veel andere documenten moet je zelf de bewaartermijn vastleggen. Hier speelt gezond verstand weer een belangrijke rol. “Denk na over hoe lang je iets moet bewaren en leg dat vast in je verwerkingsregister,” geeft Arnoud als advies.

Het gebrek aan harde regels maakt het voor veel kleinere bedrijven lastig aan de AVG te voldoen. Zij hebben vaak geen Functionaris voor de Gegevensbescherming, die een deel van de tijd met de AVG-implementatie bezig is. Voor grote bedrijven signaleert Arnoud juist een ander probleem: “Hier wordt alles rondom de AVG uitgedacht door een projectgroep en vervolgens in de schoot van de medewerkers gegooid. Een medewerker is vaak niet bij dit proces betrokken, maar er wordt wel verwacht dat de richtlijnen worden nageleefd.”

Bouke ziet ook dat de rol van de secretaresse vaak wordt onderschat. “Informatie komt te laat, of niet, dat is een probleem. Juist omdat er op het secretariaat veel verwerkingen plaatsvinden.”

Een beetje doorgeslagen

Waar de aandacht aan de ene kant minder wordt, zijn er ook legio voorbeelden van instanties die doorslaan. Kerken die niet meer durven bidden voor de zieken of apotheken die geen gebruikte medicijnen meer innemen. Dit signaleert ook de Autoriteit Persoonsgegevens. Inger: “We zien ook misvattingen over de AVG. Zo wordt wel eens gedacht dat er geen schoolfoto’s meer gepubliceerd mogen worden. Er kan vaak meer dan je denkt, je moet het alleen wel goed in je processen regelen.”

Daarin zijn twee stappen van belang: welke grondslag heb je om de persoonsgegevens te verwerken en moet je het registreren in je verwerkingsregister? Gaat het om een incidentele verwerking, dan is opname in het verwerkingsregister niet nodig, bij structurele verwerking wel. Arnoud noemt een bedrijf dat voor een jubileum eenmalig een congres organiseert, de verwerking van de persoonsgegevens van de deelnemers hoeft in dit geval niet in het verwerkingsregister opgenomen te worden.

Doorgeslagen? Hoe het wel moet

Arnoud schreef op zijn blog onlangs over een apotheek die geen medicijnen meer innam. Het zou niet meer mogen van de AVG, tenzij je eerst zelf het etiket met naam eraf haalt. Niet juist, volgens Arnoud. Het mag, omdat het gaat om een niet-geautomatiseerde verwerking, waarbij de gegevens ook niet in een bestand terecht komen.

Een andere reden kan zijn dat de apotheek bang is dat doosjes met gegevens per ongeluk op straat terechtkomen en ja, dan heb je een datalek. Er zijn wel minder extreme oplossingen dan labels afpeuteren. Maak als apotheker de gegevens met een zwarte stift onleesbaar; klantvriendelijker en ook nog eens AVG-proof.

Moet ik bang zijn voor mijn baan of boetes?

Veel nieuwe verplichtingen, bedrijven die zelf de kaders in moeten vullen, potentieel hoge boetes, je zou er bijna bang van worden. Toch schetsen zowel Bouke als Arnoud een genuanceerd beeld als het aankomt op sancties van de Autoriteit Persoonsgegevens of je werkgever.

Je gaat niet direct op de bon en boetes worden proportioneel toegepast

Bouke legt uit hoe de Autoriteit Persoonsgegevens omgaat met bedrijven waar iets fout gaat, “De Autoriteit Persoonsgegevens kijkt hoe serieus een bedrijf de AVG neemt. Wanneer er voldoende inspanning is volgt er eerst advies, dan een waarschuwing en daarna pas een boete.” Je gaat niet direct op de bon voor een enorm bedrag. “Bovendien worden boetes proportioneel toegepast naar de grootte van de organisatie. De Autoriteit Persoonsgegevens maakt ook onderscheid tussen bewuste en onbewuste privacyschendingen,” voegt Bouke hieraan toe.

Je baas hoeft niet direct hoge boetes te vrezen. Jij als werknemer dan, dreigt ontslag als je een datalek veroorzaakt? “Persoonlijk zal je weinig overkomen,” legt Arnoud uit, “dit hoort bij fouten maken op het werk en levert je hooguit een berisping of waarschuwing op.” Wel benadrukt hij het belang van het melden van een datalek bij de verantwoordelijke binnen jouw organisatie. Immers, de 72 uur die je hebt om een datalek te melden bij de Autoriteit Persoonsgegevens gaat lopen vanaf het moment van ontdekking.

Een tik op de vingers

De Belastingdienst kreeg onlangs een tik op de vingers van de Autoriteit Persoonsgegevens. Bij ZZP’ers geldt hun BSN ook als onderdeel van het BTW-nummer en zij moeten dit nummer vermelden. Zo wordt het onmogelijk voor een ZZP’er om haar persoonsgegevens te beschermen. Kreeg de Belastingdienst een hoge boete? Nee, er volgde een publieke waarschuwing. Pas als de Belastingdienst geen actie onderneemt komt de Autoriteit Persoonsgegevens met handhavende maatregelen.

Waarom je nooit klaar bent met de AVG

Stel, het bedrijf waar jij werkt voldoet op dit moment aan de AVG. Kun je dan achterover leunen? “Nee,” zeggen alle geïnterviewden. Inger licht een potentieel gevaar uit: “Bij iedere organisatie is er sprake van mensenwerk. Dat maakt de naleving van de privacywetgeving zo sterk als de zwakste schakel in de organisatie.” Een datalek zit dus in een klein hoekje.

Naast een datalek benadrukt Bouke dat bijvoorbeeld ook nieuwe procedures of systemen actie vereisen om aan de AVG te blijven voldoen. Arnoud denkt dat bedrijven de komende tijd regelmatig met situaties worden geconfronteerd die om actie vragen. “Wat doe je als je een open sollicitatie ontvangt en dat al een tijd geleden is. Je moet in zo’n geval bedenken wat je met die gegevens doet, hoe lang en waar je ze bewaart.”

Oftewel, met de AVG ben je nooit klaar. Maar met voldoende kennis, de juiste procedures en een privacyvriendelijke mentaliteit kom je een heel eind!

Alles over de AVG op Management Support

Meer weten over de AVG? Management Support heeft de antwoorden voor je! Zo helpen we jou om te voldoen aan de AVG-wet. Lees ook de andere artikelen over de AVG:

Meer weten over de AVG?

Reageer op dit artikel