U heeft een privacybeleid opgesteld, een Functionaris Gegevensbescherming aangewezen en verwerkersovereenkomsten afgesloten. De Autoriteit Persoonsgegevens kan u niks maken. Of toch wel? Frank van Keulen, adviseur Informatiebeveiliging bij Kader: “Alleen bedrijven die zich volledig aan de wet houden, hoeven zich geen zorgen te maken. En dat omvat veel meer dan alle AVG-vakjes afvinken.”
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming van kracht. Anderhalf jaar later is het privacybeleid nog lang niet bij iedereen op orde. Adviseur Informatiebeveiliging Frank van Keulen: “Veel bedrijven denken dat het zo’n vaart niet zal lopen. Of vinden dat wat zij doen geen gevolgen heeft voor iemands privacy. Maar denk bijvoorbeeld eens aan salesmedewerkers die het crm-systeem aanvullen met opmerkingen over een klant. Soms gaan die notities over ziekte of een scheiding. Dát is al privacygevoelige informatie.”
Volgens Frank zien veel bedrijven de AVG onterecht als een eenmalig papieren circus. “AVG-compliant zijn en blijven lukt alleen met een goede PDCA-cyclus. Plan, Do, Check, Act. Je moet continu de privacyrisico’s begrijpen. Past de informatie die je verzamelt wel bij het doel? Zijn er veranderingen in de dataverwerking, dan beweegt het privacybeleid mee. En gaat er toch iets mis, dan onderzoek je de verbeteringsmogelijkheden. Voldoen aan de AVG vereist dus goed nadenken over bedrijfsprocessen en vooral over het eventuele effect ervan op betrokkenen.”
Die betrokkenen zijn soms alleen het eigen personeel. Maar zelfs dan zijn er privacyrisico’s. “Denk aan een BSN of kopie van een identiteitsbewijs op platforms als SharePoint of Google Drive. Die informatie kan zo in verkeerde handen vallen.”
Ook het verzuimdossier is privacygevoelig. Frank: “Een ongeoorloofde notitie over de burn-out van een collega kan gevolgen hebben voor de betrokkene. Want krijgt die collega jaren later bijvoorbeeld een interne carrièrekans, dan trekt die burn-out toch weer zijn geschiktheid in twijfel. Die gevolgen zijn waar de hele AVG om draait en waarom de Autoriteit Persoonsgegevens ingrijpt als er ernstige inbreuk wordt gepleegd.”
Op het niet naleven van de Algemene Verordening Gegevensbescherming staan boetes van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Maar hoe komt de Autoriteit Persoonsgegevens (AP) erachter dat een bedrijf de privacywet niet naleeft? “Dat begint altijd met iemand die klaagt. Direct bij de AP of bijvoorbeeld op social media. Soms pikken journalisten de nieuwswaardige situaties eruit en dan móet de AP wel optreden”, vertelt Frank.
Zo kreeg het HagaZiekenhuis een boete van 460.000 euro. De interne beveiliging van patiëntendossiers was er niet op orde. De AP deed hiernaar onderzoek toen bleek dat meerdere ziekenhuismedewerkers onnodig het medisch dossier van realityster Samantha de Jong (Barbie) hadden ingezien.
Maar niet alleen miljoenenbedrijven worden gecontroleerd. De Autoriteit Persoonsgegevens krijgt veel meldingen binnen. Afhankelijk van het soort privacyinbreuk duurt het meestal een paar weken voordat de AP een klacht onderzoekt. “De molens draaien misschien langzaam, maar wel gestaag. Als je de verwerking van persoonsgegevens niet goed hebt ingericht en inbreuk hebt gepleegd, dan zal de AP zeker acteren. Soms wordt een klein bedrijf dan alsnog verrast door een boete voor dat ene openbare privacygevoelige document over ziekteverzuim. Dat is zonde en kan voorkomen worden”, besluit Frank.
Serieus aan de slag met het voldoen aan de Europese wetgeving en de Algemene Verordening Gegevensbescherming? Kader adviseert en helpt u met uw compliance. Wij kunnen u onder meer ondersteunen bij het opstellen van een privacybeleid en het inrichten van uw managementsysteem voor privacy en informatiebeveiliging. Neem vrijblijvend contact op voor meer informatie.