Privacy is vertrouwen

Alles over de nieuwe AVG wet die in mei 2018 in gaat.

Mag ik uw auto lenen?

Regelmatig vraag ik aan mensen in mijn omgeving of ik hun oldtimer mag lenen voor een vakantie naar Marrakesh. Steevast is het antwoord nee. Als ik ze vervolgens vraag of ik ze met een handdruk mag bedanken, dan weigert nagenoeg niemand die. Als ze daarna naar een website gaan om daar een willekeurig artikel te bestellen vullen ze allerlei persoonlijke gegevens in waarvan niet duidelijk is wat dat bedrijf daar mee gaat doen.

Dit verschijnsel vind ik bijzonder. Want de mensen in mijn omgeving kennen mij en weten of ik te vertrouwen ben of niet. Zij hebben zich daar een oordeel over kunnen vormen. Maar de mensen achter een webformulier zijn onbekend en zijn wellicht wel te vertrouwen, maar weet je dat uit eigen waarneming?Hoe komt het dat we meer waarde hechten aan iets materieels dan aan iets zeer persoonlijks, iets dat onze identiteit weergeeft. Bovendien blijken bedrijven vaker onjuist te handelen met persoonsgegevens dan met een uitgeleende auto.

Deel nieuws op Social Media
Logo icon - wit

Europese wetgeving

Omdat mensen steeds vaker en op steeds grotere schaal bewust of onbewust misbruik maken van persoonsgegevens en omdat we steeds digitaler gaan werken en verwerken moeten we persoonsgegevens beter beschermen.

Sinds 2001 is dat geregeld in de nationale wet Bescherming persoonsgegevens en vanaf 25 mei 2018 gaat dat gebeuren door de Europese Algemene verordening gegevensbescherming (AVG). Omdat gebleken is dat veel bedrijven de huidige wet niet altijd even goed toepassen, licht ik hier de belangrijkste uitgangspunten van de huidige en toekomstige wet toe.

Deel nieuws op Social Media
Logo icon - wit

Need-to-know principe

Als je als ondernemer voor je werkzaamheden persoonsgegevens moet gebruiken, vraag dan niet meer gegevens dan je nodig hebt. Wil je iemand iets per post toesturen dan zijn naam, adres en woonplaats voldoende. Dus vraag dan niet om geboortedatum en e-mailadres.

De andere kant geldt echter ook: geef niet meer gegevens dan dat je wilt geven of dat je acceptabel vindt in relatie tot de vraag. Als jouw leidinggevende vraagt hoe het met je gaat, vertel dan niet de inhoud van je medisch dossier. Hij mag dat niet weten en waarschijnlijk wil hij het ook niet weten. Hij heeft voldoende met het antwoord: “ik kan maandag weer beginnen met werken”.

Deel nieuws op Social Media
Logo icon - wit

Wees transparant

Vertel waarom je bepaalde gegevens nodig heb, wat je er mee gaat doen en hoe lang je die gegevens zal bewaren. Als de ander weet waarom hij de gegevens afgeeft en hij inzicht en informatie heeft over de verwerking dan verstevigt dat het vertrouwen in je bedrijf.

Niemand vindt het prettig als er dingen achter zijn rug om gebeuren. Zelfs niet al je het gevoel hebt dat het onvermijdelijk is. Voorlichting is dan ook belangrijk. En dat moet in eenvoudige, begrijpelijke taal gebeuren, voorafgaand aan de verwerking.

Deel nieuws op Social Media
Logo icon - wit

Afleggen van verantwoording

De verantwoordingsplicht met omgekeerde bewijslast is een nieuw aandachtspunt. Bij de meeste andere wetgeving ben je onschuldig totdat het tegendeel bewezen is, maar de AVG gaat ervan uit dat je schuldig bent totdat je hebt kunnen aantonen dat je de zaken goed op orde hebt.

En daarbij geldt een bestuurlijke verantwoordingsplicht. Om aan te tonen dat de organisatie de bescherming van persoonsgegevens serieus neemt, moet duidelijk zijn waarom de organisatie de gegevens verwerkt (doelbinding), wat de rechtvaardiging van de verwerking is (grondslag), welke gegevens nodig zijn, wat de bewaartermijnen zijn die de organisatie al dan niet vanuit wettelijk kader hanteert, wie de ontvangers zijn van de gegevens en hoe de gegevens tegen onbevoegde toegang of verwerking beschermd zijn.

Hoewel het niet voor elke organisatie verplicht is, is het verstandig om dit vast te leggen in een zogenaamd verwerkingsregister. En let op: in specifieke gevallen stelt de wet een dergelijk register zelfs verplicht.

Deel nieuws op Social Media
Logo icon - wit

Afspraken in de keten

Als een organisatie (verwerkingsverantwoordelijke) een deel of de gehele verwerking uitbesteedt aan een derde partij (verwerker) moeten zij een verwerkersovereenkomst afsluiten.

Hierin beschrijft de verwerkingsverantwoordelijke de afzonderlijke verantwoordelijkheden, de noodzakelijke en wenselijke beschermingsmaatregelen, de procedures die de verwerker in verschillende situaties moet volgen en de afspraken die gelden bij de beëindiging van het contract. Een verwerkersovereenkomst maakt onderdeel uit van de hoofdovereenkomst en beide partijen ondertekenen de overeenkomst.

Deel nieuws op Social Media
Logo icon - wit

Niet te veel gegevens verzamelen

Zowel de huidige als de komende wet schrijven duidelijk voor dat het niet toegestaan is meer gegevens te verzamelen dan nodig is voor de verwerking binnen de bedrijfsprocessen. Opslagcapaciteit is al jaren spotgoedkoop en daarom heeft het schonen van overbodige gegevens te weinig plaatsgevonden.

Bovendien zijn veel gegevens verzameld onder het mom van “handig”, “we kunnen dat vast later nog wel ergens voor gebruiken”, “voor schonen hebben we geen tijd/capaciteit” en nog veel meer voor de wet niet-relevante argumenten.

Organisaties mogen simpelweg niet meer gegevens verzamelen dan voor de verwerking noodzakelijk is en deze mogen ook niet langer bewaard blijven dan noodzakelijk of wettelijk voorgeschreven is.

Deel nieuws op Social Media
Logo icon - wit

Privacy is vertrouwen

De AVG vraagt veel van organisaties. Het geeft de personen, die een deel van hun identiteit weggegeven hebben, veel rechten. Maar bovenal vraagt het om vertrouwen tussen organisatie en betrokkenen. Dit kan het beste tot stand komen door met elkaar in gesprek te gaan en te blijven. Vertel wat je waarom met de gegevens gaat doen. Luister naar de gevoelens van de betrokkene en pas daar indien nodig en mogelijk de manier van verwerken op aan.

Vragen hoe dat te doen of over de AVG? Neem dan contact op met Ivonne Verkes van Zeddicus Procesdraperie (info@zeddicus.nl). Zij is gespecialiseerd in het inbedden van de AVG in de bedrijfsprocessen en zij houdt daarbij rekening met de belangen van alle stakeholders.

Deel nieuws op Social Media
Logo icon - wit
Internetbureau Jun-E-Jay