Q&A: hoe giet u de AVG in een eigen mal? In gesprek met Autoriteit Persoonsgegevens
Wat gebeurt er met persoonsgegevens wanneer het in handen komt van organisaties? Aan labs de taak om daar een doordacht antwoord op te geven. Dat is tenminste wat de Algemene verordening gegevensbescherming ons vertelt. Juist daar zit de crux. Want zijn uw gemaakte keuzes de juiste? Autoriteit Persoonsgegevens biedt graag duidelijkheid. Een Q&A met Sofie van der Meulen, Senior Supervision Officer.
Om bij het begin te beginnen: wat maakt het zo lastig voor organisaties om de AVG te implementeren?
“De AVG kent bij uitstek vele open normen. Het kader is uitgetekend, maar het biedt behoorlijk wat ruimte om dit zelf binnen de eigen specifieke situatie, werkwijze en naar eigen voorkeur verder in te kleuren. Zo vertelt de wetgeving dat er een verwerkingsregister moet zijn, maar hoe dat er precies uitziet is voor eigen invulling. Waar de een verzamelde en verwerkte persoonsgegevens inzichtelijk maakt met datamanagementsoftware, gebruikt de ander een Excelsheet.”
Is het ene beter dan het andere?
“De ene organisatie is de andere niet. Processen, systemen en manieren van dataverzamelingen verschillen. Er zijn bedrijven met 3000 man in dienst en kleine organisaties met drie medewerkers. Om die redenen giet iedereen de AVG in zijn eigen mal. Wat voor de een goed werkt, hoeft niet voor de ander dé oplossing te zijn.”
Zijn er nog meer redenen waarom de AVG maar moeilijk blijft voor organisaties?
“Toen de AVG van kracht ging, werd er vooral veel aandacht geschonken aan de boetes. Daardoor heerst de gedachte dat je meteen gestraft wordt wanneer je niet aan de wetgeving voldoet. De misvatting wil ik graag wegnemen. Als je op de vingers wordt getikt, is dat normaal gesproken niet direct met een boete. Daar gaan gesprekken en gelegenheid voor verbetering aan vooraf. Als wij al een boete opleggen, dan is er echt iets aan de hand. Bijvoorbeeld als de gemaakte fouten buitenproportioneel zijn.” Meer weten over grondbeginselen van de AVG?
- Ontdek de betekenis van basisbegrippen op de website van Autoriteit Persoonsgegevens.
- Vind meer informatie op de website van het European Data Protection Board.
- Lees juridische blogs.
Hoe kunnen organisaties de AVG minder zien als iets ‘ongrijpbaars’?
“Hoe eet je een olifant? Stapje voor stapje. Je hoeft niet alles meteen perfect geregeld te hebben. Het gaat erom dat je bezig bent met privacy en dataverwerking. Begin ergens en laat de ruimte voor eigen oplossingen geen obstakel vormen.”
En hoe maken zij zich de privacywetgeving dan eigen?
Accountability: iedereen in de organisatie moet zich daadwerkelijk verantwoordelijk voelen voor een goede gegevensbescherming en zelf processen implementeren om dat te verwezenlijken.
Heb je een concreet voorbeeld van hoe je dat doet?
Denk aan het creëren van awareness binnen de organisatie. Bijvoorbeeld met een jaarlijkse training waarbij iedereen de afgesproken regels op hun netvlies gebrand krijgt. Of test medewerkers met een phisingmail en kijk wat er gebeurt. Gaat er iemand de fout in? Dan zegt dat niet iets slechts over de medewerker. Blijkbaar zijn er meer trainingen of andere manieren nodig om awareness te creëren. Ga daar vervolgens mee aan de slag.”
Bekijk hieronder de webinar van Sofie van der Meulen waarin zij u alles bijbrengt over accountability en krijg grip op (persoons)gegevens en goed datamanagement.
Waar moeten laboratoria extra waakzaam voor zijn?
“Labautomatisatie brengt nieuwe systemen en softwarepakketten met zich mee. Weet met welke leveranciers je in zee gaat. Dat iets ‘handig’ is, betekent niet dat het veilig is. Wees dus kritisch en maak duidelijke afspraken. Leg bijvoorbeeld jaarlijkse audits in het leverancierscontract vast waarbij een externe partij de privacy controleert.”