Monsters

Privacybeleid

De Autoriteit Persoonsgegevens (AP) heeft bij 53 organisaties het privacybeleid opgevraagd. Het gaat om bloedbanken, IVF-klinieken en plaatselijke politieke partijen. Het doel is vaststellen of de Algemene Verordening Gegevensbescherming (AVG) wordt nageleefd. Dat is vanuit het oogpunt van bewustwording een heel goede zaak.

Want zo gaat het gesprek bij de koffieautomaat:

“De AP vraagt om ons privacybeleid.”

“Oké, dat hebben we toch?”

“Mmm, we hebben er uren schrijfwerk, zes werkgroepvergaderingen en drie vergaderingen in het managementteam aan gewijd vorig jaar. Maar ik kan nergens vinden dat het ook is vastgesteld en in de organisatie is doorgevoerd.”

Kan gebeuren…

Een goede gelegenheid om de verzande discussie over het beheer van persoonsgegevens conform de privacywetgeving weer vlot te trekken en aan de bewustwording van medewerkers te werken. Want er gaat nogal wat mis. De AP rapporteert ook dat in de eerste zeven maanden van het bestaan van de AVG 10.000 mensen hebben geklaagd over het gebruik van persoonsgegevens. Negen procent van de klachten betrof de omgang met persoonsgegevens in de zorg. Het merendeel daarvan ging om problemen bij het krijgen van inzage en bij verzoeken om gegevens te verwijderen.

Register van verwerkingen als bewustwording

De AP lijkt haar maatregelen strategisch te kiezen. Heel verstandig als je met een kleine organisatie een enorm terrein moet bestrijken. Zo keken ze eerder naar of de registers van verwerkingen er al zijn, ook binnen zorginstellingen. Nu is dat register van verwerkingen voor functionarissen gegevensbescherming soms een soort monster in een doolhof waar je nachtmerries van krijgt. Als het woord registerstress nog niet bestaat, dan hierbij.

Een register van verwerkingen beschrijft onder andere welke gegevens de instelling verzamelt, met welk doel en voor hoelang. Tevens registreert het met wie gegevens worden uitgewisseld. Het aanmaken van zo’n register is natuurlijk een flinke klus. Maar het grote voordeel is dat het met een goed register van verwerkingen simpeler wordt de AVG te volgen, fouten op te sporen en je aan bewaartermijnen te houden. Het proces van het opstellen van het register kun je zien als een bewustwordingsactiviteit. Mensen worden gedwongen op een rijtje te zetten welke gegevens ze verwerken, en dan begint vanzelf het proces van je afvragen waaróm we al die gegevens eigenlijk verzamelen. En waarom delen we zo veel gegevens met zo veel andere organisaties?

Dus… flitsende (her-)start: Waar is dat privacybeleid, wat is de status ervan en hoe kunnen we het doorvoeren? En: waar is dat register, hoe ver zijn we ermee en hoe kunnen we ervoor zorgen dat het in (pakweg) twee maanden in orde is? Zo doe je dat met monsters, gewoon aan beginnen.

Gebruiken jullie het register ook als bewustwordingsactiviteit? Of liever een andere aanpak? Neem eens  contact op, ik denk graag met je mee.

Verplichtingen uit de AVG komen ook aan de orde in het boek Zorg voor privacy.

Deel alsjeblieft dit artikel, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. (sharebuttons zonder third-party tracking)