5-2-2019

Faciliteer jouw functionarissen gegevensbescherming

Na de intreding van de AVG is het de meeste organisaties gelukt om een functionaris voor de gegevensbescherming (FG) te vinden. De vraag is: hoe faciliteer je een FG zodoende dat hij zijn werk optimaal kan uitvoeren?

Lange tijd werd er gevreesd naar 25 mei 2018 gekeken: vanaf die datum zouden privacyschenders hard worden aangepakt. Wie de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) regelmatig en systematisch overtreedt, kan boetes krijgen oplopend tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Een voorbeeld: in het najaar van 2018 kreeg Uber een boete van 600.000 euro overhandigd. In 2016 vond namelijk een overtreding plaats binnen het Uber-concern: er was sprake van ongeoorloofde toegang tot persoonlijke gegevens van klanten én medewerkers. Uber kreeg hiervoor een boete omdat het dit lek niet binnen 72 uur na de ontdekking ervan heeft gemeld bij de Nederlandse gegevensbeschermingsautoriteit en de gedupeerden. Deze boete valt onder de Meldplicht Datalekken. Deze Meldplicht was in Nederland al in 2016 als een voorproef ingesteld om voor te bereiden op de AVG. Wanneer de AVG gehandhaafd zou worden, zou de boete vele malen hoger zijn.

Aan zo’n boete gaan vaak nog vele waarschuwingen vooraf. Zo’n boete is vaak de laatste keuzemogelijkheid van een toezichthouder. Daar heeft bijvoorbeeld het UWV ervaring mee. Maar het gaat niet alleen om de boetes; de meeste organisaties zijn vaak banger voor reputatieschade. Wat doet een schending van privacywetgeving voor de betrouwbaarheid van het bedrijf?  Na 8 maanden privacywetgeving kunnen we wel al de balans opmaken; organisaties gaan nu veel bewuster om met privacy dan enkele jaren geleden.

lock
Hoe faciliteer je een FG zodoende dat hij zijn werk optimaal kan uitvoeren?

Een beginnend proces

Uit onderzoek van de Autoriteit Persoonsgegevens (AP) onder organisaties die verplicht zijn om de contactgegevens van hun FG op hun website te vermelden, blijkt dat organisaties van privacy dit tot een serieus agendapunt hebben gemaakt. Deze verplichting geldt bijvoorbeeld voor ziekenhuizen, zorgverzekeraars en overheidsinstanties. Binnen deze sectoren kon de AP in september 2018 slechts één organisatie vinden die niet voldeed aan de regelgeving.

Die mooie cijfers mogen met een korreltje zout genomen worden: veel FG’s zijn nieuw binnen een organisatie en moeten hun weg nog vinden. Ook zijn de processen voor het borgen van de privacy vaak nog niet helemaal op orde. Daarnaast zijn hun FG-taken vaak niet hun enige taken. Een FG heeft ook te maken met het krachtenveld tussen management, toezichthouder en de AVG zelf. Bovendien voelt de persoonlijke aansprakelijkheid bij obstructie als een zware last op hun schouders. Er komt dus erg veel op ze af. Overspannen FG’s zijn voor mij en mijn collega’s geen nieuwigheid.

Effectiviteit verbeteren

Enkele tips om de effectiviteit van de FG te optimaliseren:

  1. Wijs contactpersonen aan per afdeling: Voorkom dat FG’s verdwaald raken binnen je organisatie. Zorg ervoor dat per afdeling een relatie is aangesteld voor de FG! Deze contactpersoon moet goed op de hoogte zijn van de processen binnen de desbetreffende afdeling en moet de FG correct kunnen informeren en met de juiste personen in contact kunnen brengen.
  2. Betrek de FG bij de praktijk: het gaat erom dat de aanbevelingen en learned lessons uit rapporten in de praktijk worden toegepast. Het is een goed idee om de FG bij projecten te betrekken, maar daar moet de FG wel de tijd voor krijgen. Alle privacygerelateerde kosten moeten namelijk ook erkend worden!
  3. Blijf communiceren over de AVG: de FG benodigt de medewerking van alle medewerkers, waar medewerkers zich gehoord en geholpen moeten voelen. Dit betekent dat je niet alleen regels moet opleggen, maar ook training en tooling moet geven. Denk aan iets eenvoudigs als multifactorauthenticatie (MFA). Bij het gebruik van MFA mag het wachtwoord vervolgens minder ingewikkeld zijn. Bij veel bedrijven is de regelgeving echter dubbelop en omslachtig: naast de aanwezigheid van MFA wordt er ook aangedrongen op een ingewikkeld wachtwoord.

 

Het (positief) promoten van de AVG

De AVG moet dus levend gehouden worden onder medewerkers, zonder dat deze hier een negatieve associatie mee krijgen. Meerdere wegen leiden naar Rome: denk aan een interne ‘week van de privacy’. Tijdens deze week kun je met anekdotes of handige tips and tricks aandacht vragen voor privacy. Nog een leuk idee: deel rode en gele kaarten uit aan werknemers die onzorgvuldig met gevoelige documenten omgaan, door bijvoorbeeld deze op kantoor te laten slingeren. Vergeet daarbij niet te belonen: geef een groene kaart met een kleine beloning voor correcte privacy-compliancy. Je begint bij de basis en maakt het uiteindelijk zichtbaar en concreet.

Wanneer de communicatie vloeiend verloopt, wordt privacy niet als iets vervelends ervaren. Door juiste communicatie realiseren medewerkers zich dat de aandacht voor privacy niet is om hen te pesten, maar om een belangrijk grondrecht te beschermen. Ook die van henzelf.

IT-Trends

Kennismaken?

nl.info@ciber.nl

Binnen 12 uur reactie

Onze locaties

Bekijk onze locaties

2.0.0