En opeens was daar de gevreesde privacywet. De Algemene Verordening Gegevensbescherming. De AVG. Het leek wel of ieder bedrijf zich druk maakte om privacy van haar klanten. Nou ja, druk. Het ging veelal om het feit dat bedrijven wilde laten zien dat ze “er mee bezig waren”. Want de praktijk wijst nog altijd iets anders uit.
Het eerste kwartaal van 2018: de mailbox ontplofte zowat. Ieder bedrijf mailde dat je, als je dat zou willen, je eigen data mocht inzien. Dat je van de nieuwsbrief af kon. Dat jouw gegevens toch echt wel goed beveiligd zijn. En vaak in dit soort bewoordingen:
"Op 8 mei hebben wij jou een mail gestuurd betreft onze aangescherpte privacy verklaring. Onze privacy verklaring is aangescherpt in verband met de nieuwe privacywet. Deze wet zal ingaan per 25 mei 2018 en geldt voor alle organisaties die persoonsgegevens verwerken binnen de EU."
Heel veel bedrijven die persoonsgebonden data verwerken waren vooral bezig met compliant zijn aan de privacywet. Wat dat nu precies betekent is voor veel bedrijven nog altijd niet duidelijk. Vaak wordt gedacht dat je er als organisatie wel bent met een aantal verwerkersovereenkomsten en een register waar als je verwerkingen in staan. Helaas, dat is niet zo.
AVG Papierwinkel
Naast de hele “papierwinkel” waar onder anderen natuurlijk de bovengenoemden documenten in thuis horen zijn er nog een paar stappen die vaak vergeten worden. Denk maar eens aan de trainingen voor je werknemers. Het draagvlak creëren bij verschillende afdelingen om zorg te dragen voor persoonsgegevens en het testen van de processen.
Dat testen van processen en doorgronden waar privacy gevoelige data wordt verwerkt is nog een hele kluif. Ik heb het afgelopen jaar vooral gemerkt dat er heel veel data “overal” wordt verwerkt binnen organisaties. Ik bedoel hiermee dat een klant, bijvoorbeeld meneer Jansen, bekend is op afdeling A maar ook op afdeling B maar dat beide afdelingen niet van elkaar weten dat zij gegevens van dezelfde meneer Jansen aan het verwerken zijn. Daarnaast bestaat er een enorme schaduw administratie van persoonsgegevens. Stel je voor een organisatie heeft als beleid om gegevens te verwerken in een bepaald programma. Zo kan iedereen die dat moet in dat programma de juiste persoon terugvinden. En als het nodig is kunnen de gegevens, bij wijze van spreken, met één druk op de knop gewist worden. Maar ja, dat programma wordt als vervelend ervaren want er mist een bepaald veldje, een notitieveld of iets dergelijks. Dus daar komt Microsoft Kladblok waanzinnig goed van pas. De werknemer maakt daar vervolgens een heel verslag in en dit komt niet meer in het beoogde programma dat door de organisatie gebruikt dient te worden. Bedenk je dan eens hoe je je recht op vergetelheid kunt uitoefenen als niemand meer weet waar je gegevens eigenlijk zijn bewaard. Puur door deze schaduw administratie.
Belang van testen
Het is dus van belang om naast alle AVG documentatie ook te testen (of een audit te laten uitvoeren) op processen van gegevensverwerking. Dit soort testen zouden naar mijn mening onderdeel van de werkprocessen moeten zijn en geregeld uitgevoerd moeten worden. Zo kan er gewaarborgd worden of een proces moet worden aangescherpt en waar er dan geacteerd dient te worden.
Dit artikel is ook te vinden in het dossier AVG
