Kan uw organisatie werken zonder persoonsgegevens?
Het project ‘Privacy’. Kan uw organisatie werken zonder persoonsgegevens?
Het project ‘Privacy’
In de aanloop naar 25 mei 2018 hebben organisaties projectmatig de implementatie van de Algemene Verordening Gegevensbescherming (AVG) ter hand genomen. Registers zijn opgesteld, Functionarissen Gegevensbescherming (FG’s) zijn aangesteld, verwerkersovereenkomsten zijn afgesloten en privacyverklaringen zijn gepubliceerd. Daarmee is in veel gevallen het project Implementatie AVG afgerond.
De praktijk
Maar de implementatie van de AVG stopt daar niet. Het respecteren van de privacy van inwoners, cliënten en leerlingen vraagt structureel aandacht. Veilig delen, het melden van datalekken, het uitvoeren van DPIA’s en de vraag met wie je persoonsgegevens mag delen vraagt dagelijks aandacht binnen een organisatie. Onvoldoende aandacht hiervoor leidt met grote regelmaat tot mediaberichten en maatschappelijke verontwaardiging over organisaties die getroffen zijn door datalekken, te veel gegevens hebben verzameld of deze met de verkeerde partijen hebben gedeeld. En in veel gevallen had dit voorkomen kunnen worden.
Het risico
In bovenstaande situaties loop je als organisatie het risico dat je door de Autoriteit Persoonsgegevens (AP) op de vingers wordt getikt. Bijvoorbeeld door een boete van de privacywaakhond. Dat risico is op dit moment nog niet heel groot. Een jaar na het van kracht worden van de AVG heeft de AP tot op heden één boete opgelegd. Uitgaande van 132.000 (1) organisaties die onder de werking van de AVG vallen heeft slechts 0,00075% een boete gekregen. Die kans lijkt dus verwaarloosbaar klein. Kijken we naar het aantal klachten dat is ingediend bij de AP, dan zien we dat er in het eerste halfjaar na de invoering van de AVG 10.000 klachten zijn binnengekomen. Na een volledig jaar kunnen dat er 20.000 zijn. Dat betekent dat de kans dat je met de toezichthouder te maken krijgt in het eerste jaar na de invoering van de AVG ongeveer 15% is. Houden we ook nog rekening met de ruim 20.000 bij de toezichthouder gemelde datalekken, dan bestaat er elk jaar een kans is van ongeveer 1 op 3 dat je met de toezichthouder te maken krijgt. En meer boetes zijn aangekondigd. Het risico neemt dus toe.
Kansberekening is een vak apart en op bovenstaande cijfers is vast een hoop af te dingen. Maar het laat wel zien dat met de gestaag oplopende aantallen klachten en datalekken de kans op gefronste wenkbrauwen bij de privacywaakhond en negatieve publiciteit behoorlijk toeneemt. Maar is dit het belangrijkste argument?
Dienstverlening zonder persoonsgegevens?
Een veel belangrijker argument dan de kans op een sanctie is dat geen enkele onderwijs-, zorg- of overheidsinstelling in staat is tot dienstverlening zonder daarbij persoonsgegevens te verwerken. En dit betreft vaak gevoelige informatie, zoals leef- en woonomstandigheden, gezondheidsgegevens en financiële gegevens. De conclusie dat je zonder persoonsgegevens niet in staat bent om je taken uit te voeren maakt dat je zorgvuldig en veilig met persoonsgegevens wilt omgaan. En, belangrijker nog, je wilt voorkomen dat de inwoner, cliënt of leerling het vertrouwen verliest in jouw organisatie. Dit betekent dat er structurele aandacht nodig is voor privacy en informatiebeveiliging.
Maar hoe doe je dat?
Hoe integreer je privacy in je reguliere werkprocessen? Allereerst is het van belang om te weten waar je als organisatie staat. Met een zelfevaluatie kun je identificeren welke onderdelen van de AVG nog onvoldoende zijn geïmplementeerd. Daarna is het van belang om stapsgewijs de ontbrekende processen in te richten. Bijvoorbeeld het plannen, organiseren en uitvoeren van DPIA’s, het afsluiten van verwerkersovereenkomsten, procedures voor het toekennen en intrekken van autorisaties en het beschrijven van rollen, taken en verantwoordelijkheden. Daarbij geldt dat de naleving van de AVG niet (alleen) een verantwoordelijkheid is van centrale afdelingen, maar vooral van de afdelingen die met persoonsgegevens werken. Naleving van de AVG betekent dan duidelijke werkinstructies voor medewerkers, afspraken met ketenpartners en verantwoording daarvan in reguliere verantwoordings- en voortgangsrapportages. Daarmee kan structurele naleving van informatiebeveiliging en privacy worden geborgd.
Meer informatie en contact
Wilt u meer informatie of vrijblijvend een afspraak maken? Neem dan contact op met onze senior adviseur Alex Commandeur, via telefoonnummer 06 - 82 12 03 17 of per e-mail naar alex.commandeur@bmc.nl.
1.Memorie van Toelichting bij de Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken); Tweede Kamer, vergaderjaar 2012–2013, 33 662, nr. 3 pagina 16.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.