10-7-2018

Gebrek aan governance leidt tot talloze privacyklachten

Dit zijn de maatregelen voor het voorkomen van GDPR-boetes

Sinds de Algemene verordening gegevensbescherming (AVG) van kracht is, heeft de Autoriteit Persoonsgegevens (AP) talloze klachten ontvangen over het schenden van de privacy. Organisaties blijken vooral grote moeite te hebben met het verwijderen van persoonsgegevens. Marleen Pijpelink van Experis Ciber wijt dit aan een gebrek aan governance. “Ik adviseer bedrijven dan ook om deze problematiek snel aan te pakken.”

De AVG, ook wel GDPR genoemd, is sinds 25 mei 2018 van toepassing. Dankzij deze wetgeving hebben de mensen van wie bedrijven persoonsgegevens verwerken het recht om een klacht in te dienen bij de AP over de manier waarop zij met hun gegevens omgaan. Al binnen een maand hebben ruim 600 mensen hier gebruik van gemaakt. Het grootste aantal klachten ging over het niet verwijderen van persoonsgegevens, terwijl daartoe wel een verzoek was ingediend. Bovendien blijken ondernemingen veelal geen inzage in de eigen persoonsgegevens te geven.

Gaat het hierbij om onwil? Nee, zegt Pijpelink, die principal consultant Enterprise Information Management is. “Het probleem zit vooral in het feit dat bedrijven hun processen nog niet op orde hebben. Ze weten daarom niet hoe te handelen als ze een verzoek krijgen voor inzage in of verwijdering van persoonsgegevens. De AVG stelt in veel gevallen een verwerkingsregister verplicht, maar organisaties blijken dit register nog niet op orde te hebben. Daarom kunnen ze de opgevraagde data gewoonweg niet vinden. Daarnaast is bij veel bedrijven niet duidelijk wie verantwoordelijk is voor het uitvoeren van een aanvraag, waardoor het verzoek blijft liggen.”

GDPR
De AVG, ook wel GDPR genoemd, is sinds 25 mei 2018 van toepassing. Dankzij deze wetgeving hebben de mensen van wie bedrijven persoonsgegevens verwerken het recht om een klacht in te dienen bij de AP over de manier waarop zij met hun gegevens omgaan.

Voorbereiden op een verzoek

Hoe kunnen organisaties dan toch voldoen aan de GDPR? “Kijk nog een keer goed naar de eigen processen”, zegt Pijpelink. “Doen bedrijven dit niet en zijn zij niet van plan om verbeteringen door te voeren, dan kunnen zij geconfronteerd worden met een hoge boete. De AP mag een geldstraf geven tot maar liefst 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.”

Pijpelink waarschuwt er echter voor dat bedrijven nog meer actie moeten ondernemen om te voldoen aan verzoeken tot het inzien of verwijderen van persoonsgegevens. Dit zijn haar 5 adviezen:

 

1. Governance

Begin met governance. Om een voorbeeld te geven: laat aanvragen binnenkomen op een centraal punt. Stel specifieke medewerkers aansprakelijk voor de afhandeling hiervan. Ook is het cruciaal om te weten waar de opgevraagde gegevens zijn bewaard. Maak duidelijk wat de procedures zijn om te voldoen aan de privacywetgeving. Tot slot: een goede samenwerking tussen verschillende afdelingen is onontbeerlijk om data te kunnen wissen.

 

2. Ken de AVG

Medewerkers die aanvragen moeten verwerken, hebben meestal wel van de AVG gehoord, maar weten niet van de hoed en de rand. Sterker nog, ze weten soms niet eens dat hun klanten recht hebben op het inzien van hun eigen persoonsgegevens en mogen vragen deze te verwijderen. Blijf dan ook communiceren over de GDPR. Zet hierbij de geijkte instrumenten in als nieuwsbrieven en het intranet. Zet specifieke trainingen op om medewerkers de benodigde kennis te laten opdoen. Vergeet hierbij niet dat de AVG niet alleen legal of privacy-officers aangaat, maar alle medewerkers.

 

3. Specifieke aanstelling voor gegevensbescherming

Stel een functionaris voor gegevensbescherming aan – zelfs als je hiertoe niet verplicht bent. Zo'n rol is echt cruciaal voor organisaties die veel afdelingen hebben. Denk hierbij aan een privacy-officer. De rol van zo'n functionaris is om onder andere ingewikkelde privacygerelateerde vragen van klanten te beantwoorden. Ook moet deze persoon weten welke medewerkers de uitvoering van het verzoek op zich moeten nemen, wat de processen hiervoor zijn en waar hij of zij de informatie kan vinden die nodig is.

 

4. Updates of nieuwe systemen

Soms blijkt dat data niet verwijderd kunnen worden. Gewoonweg omdat medewerkers niet beschikken over een mogelijkheid om te zoeken naar informatie. Ook blijkt soms dat systemen het niet toestaan om gegevens te verwijderen. In dit soort situaties is het goed om te kijken of er updates voor de systemen zijn, waarmee het wissen wel kan plaatsvinden. Zijn deze updates niet beschikbaar? Dan is het wellicht noodzakelijk om een nieuw systeem aan te schaffen. Een oplossing voor Enterprise Content Management (ECM) kan gegevens veilig en overzichtelijk vastleggen, archiveren en verwijderen.

 

5. Communiceer

Organisaties kunnen de nodige maatregelen getroffen hebben om te voldoen aan de AVG. Het betekent echter niet dat hiermee alles is opgelost. Lukt het dus niet om inzage te geven in de persoonsgegevens of deze te vernietigen, wees daar dan duidelijk over. Een goede communicatie met de betrokkenen, kan voorkomen dat zij gaan klagen bij de AP.

  • Marleen Pijpelink
  • Principal Consultant EIM

Kennismaken?

nl.info@ciber.nl

Binnen 12 uur reactie

Onze locaties

Bekijk onze locaties

2.0.0