Privacy is de afgelopen jaren steeds belangrijker geworden. Onder bedrijven en consumenten is het privacybewustzijn enorm gegroeid en met de komst van de Algemene Verordening Gegevensbescherming (AVG) is dit alleen maar toegenomen. Veel organisaties hebben zich de afgelopen tijd in meer of mindere mate met privacy beziggehouden. Toch berichten de kranten bijna dagelijks over datalekken en andere schandalen en zijn er nog steeds veel bedrijven die niet of onvoldoende privacy compliant zijn. Dit is niet verwonderlijk, aangezien privacy een complex en veelomvattend onderwerp is waar veel bij komt kijken. Waar gaat het vaak mis en wat kan je doen om alsnog privacy compliant te worden?

Wel een privacyverklaring op je website, maar geen intern privacybeleid

Dus je hebt een privacyverklaring op je website staan? Dat is helemaal geweldig, maar helaas niet voldoende om de omgang met persoonsgegevens binnen je organisatie te waarborgen. Een privacyverklaring zou een externe representatie van je interne privacybeleid moeten zijn. Een intern privacybeleid begint met het innemen van een standpunt ten opzichte van privacy: hoe belangrijk is privacy voor jouw organisatie, wat wil je uitdragen richting je medewerkers, leveranciers en klanten? Daarna ga je kijken welke gegevens je verwerkt, op welke manier, voor welke doelen, welke grondslagen je hiervoor hebt, wie waarvoor verantwoordelijk is binnen de organisatie, hoe de beveiliging geregeld is, welke partijen gegevens namens jou verwerken, hoe je omgaat met datalekken et cetera. Soms zal het noodzakelijk of praktisch zijn om per afdeling een apart privacybeleid op te stellen, bijvoorbeeld hoe de HR-afdeling omgaat met personeelsgegevens en hoe de marketingafdeling omgaat met gegevens van klanten. Klinkt dit als veel werk? Dat klopt, maar het heeft voor jouw organisatie ook veel voordelen om alle gegevensverwerkingen, gebruikte technologieën, verwerkers en processen helder in kaart te brengen. Grote kans dat je ontdekt dat sommige dingen beter, sneller, goedkoper of efficiënter kunnen. Daarnaast gaat het om je reputatie: als jouw bedrijf morgen op de voorpagina van de krant staat wegens een privacyschandaal kan dit grote gevolgen hebben. Het loont dus echt de moeite hier werk van te maken.

Onvoldoende tijd en aandacht besteden aan privacybewustzijn

Je kan nog zo’n uitgebreid privacybeleid hebben en alles netjes op papier hebben staan, uiteindelijk staat of valt een goede bescherming van persoonsgegevens met je personeel. Als zij niet zorgvuldig omgaan met persoonsgegevens is een misstap snel gemaakt. Vaak is het niet eens zo dat werknemers privacy niet belangrijk vinden – als je het ze zou vragen zullen de meeste mensen zeggen dat ze het wel degelijk belangrijk vinden – maar is het probleem vooral dat ze niet zo goed weten wat ze moeten doen of hebben ze het dermate druk met hun werkzaamheden dat privacy niet “top of mind” is. Creëer privacybewustzijn onder je werknemers, bijvoorbeeld door middel van trainingen, voorlichting, posters op kantoor, e-mails en nieuwsbrieven. Het simpelweg opleggen van allerlei regels kan tot irritatie leiden. Zorg er daarom voor dat je werknemers begrijpen waarom je bepaalde privacymaatregelen neemt en waarom dit zo belangrijk is. Dit vergroot de motivatie om de maatregelen ook daadwerkelijk na te leven. Vergeet niet: iedereen is verantwoordelijk voor privacy binnen de organisatie, van directeur tot beveiligingsspecialist tot HR-medewerker tot conciërge!

Hoe meer afdelingen of vestigingen, hoe meer vreugd…

Wanneer jouw organisatie meerdere afdelingen of vestigingen heeft, is het zomaar mogelijk dat niet elke afdeling of vestiging op dezelfde manier met persoonsgegevens omgaat. Zoals hierboven al is aangegeven, is het soms wenselijk dat elke afdeling een eigen privacybeleid heeft. Zorg er echter wel voor dat elk privacybeleid op elkaar afgestemd is, zodat gegevens die van afdeling of vestiging A naar afdeling of vestiging B gaan niet plotseling worden verwerkt op een manier die niet overeenstemt met wat er richting klanten en personeel is gecommuniceerd. Dit geldt uiteraard ook als je met verwerkers aan de gang gaat. Zorg er ook voor dat je personeel hier bewust van is en besteed er aandacht aan tijdens de activiteiten die je organiseert om het privacybewustzijn te vergroten. Deze tip sluit aan bij de voorgaande twee punten en is misschien een open deur, maar toch gaat dit vaak fout en daarom is het goed hier heel bewust bij stil te staan. Zeker bij afdelingen of vestigingen die verspreid zijn over meerdere plaatsen of landen kan dit extra uitdagingen opleveren.

“Ik heb niets fout gedaan, het is de schuld van mijn verwerker!”

Maak je gebruik van verwerkers bij het verwerken van persoonsgegevens? Denk hierbij aan clouddiensten om gegevens op te slaan of te verzenden, hostingpartijen, diensten om e-mailnieuwsbrieven mee te versturen of dichter bij huis: de boekhouder die de administratie voor je bedrijf in orde maakt. Verwerkers hebben de plicht om passende technische en organisatorische maatregelen te nemen met betrekking tot de bescherming van persoonsgegevens, maar als verantwoordelijke moet je je ervan verzekeren dat een verwerker zich aan de AVG houdt. Je kan de verantwoordelijkheid dus niet volledig op de verwerker afschuiven. Wanneer een verwerker de regels uit de AVG niet naleeft, kan jij hier als verantwoordelijke ook op aangesproken worden en lopen jullie beide het risico om beboet te worden. Als een van jouw verwerkers er een potje van maakt, heeft dit dus ook weerslag op jouw organisatie. Als je besluit om een verwerker in te schakelen, onderzoek dan van tevoren of deze verwerker de regels uit de AVG naleeft en sluit altijd verwerkersovereenkomsten af waarin je afspraken over onder andere de vertrouwelijkheid en beveiliging van persoonsgegevens vastlegt. Ga niet zomaar akkoord als een verwerker met een overeenkomst aan komt zetten, maar kijk altijd goed bij wie de risico’s zijn neergelegd als er onverhoopt toch iets misgaat. Het kan verstandig zijn hierbij de hulp van een expert in te schakelen.

Privacy is alleen belangrijk is voor grote bedrijven of online dienstverleners

Sommige organisaties denken dat zij zich niet zoveel met privacy bezig hoeven te houden, omdat ze niet zoveel mensen in dienst hebben, weinig online doen of omdat er nooit een incident heeft plaatsgevonden. Dit klopt niet. Ieder bedrijf heeft een verantwoordingsplicht en moet bij verantwoording kunnen afleggen aan de toezichthouder wanneer er controles plaatsvinden. Zo moet je als organisatie vrijwel altijd een register van verwerkingsactiviteiten (verwerkersregister) bijhouden. Bij gegevensverwerkingen met een hoog risico moet vooraf een Data Protection Impact Assessment (DPIA) worden uitgevoerd. Wanneer je gebruik maakt van toestemming van betrokkenen, moet je aan kunnen tonen dat deze toestemming daadwerkelijk gegeven is. In sommige gevallen moet je een Fuctionaris voor de Gegevensbescherming (FG) aanstellen. Als je een overheidsinstantie bent, zoals een gemeente, provincie of een zorg- of onderwijsinstelling, is deze aanstelling verplicht, ongeacht het type persoonsgegevens dat je verwerkt. Of je wel of niet veel online doet is dan niet relevant. Een bedrijf met weinig personeel kan veel klanten hebben waarvan gegevens worden verwerkt. Een eenmanszaak die een app ontwikkelt waarbij gezondheidsgegevens of andere gevoelige gegevens worden verwerkt, zal privacy hoog op de agenda moeten zetten. En incidenten kunnen altijd plaatsvinden; het verleden biedt wat dat betreft geen garanties voor de toekomst. Nadenken over een datalekkenprotocol is dus altijd een goed plan. Daarnaast zal je altijd een privacybeleid moeten hebben, zowel intern als extern, ongeacht de grootte van je bedrijf en de hoeveelheid gegevens je verwerkt. Zodra je als organisatie persoonsgegevens verwerkt – en dit zal vrijwel altijd het geval zijn – is privacy geen ver-van-je-bed-show en zul je ermee aan de slag moeten.

Hierboven zijn veel onderwerpen aan bod gekomen die meer aandacht verdienen. Deze zullen de komende tijd besproken worden in aparte blogs. Houd onze website of social media kanalen dus in de gaten! Is jouw bedrijf al privacy compliant of heb je ergens hulp bij nodig? Laat het ons weten!

De vijf misverstanden zijn geïnspireerd op het IAPP Privacy In Technology trainingsprogramma. De tekst en uitleg hierbij is onze eigen interpretatie.