Opvallend, of niet? Een jaar nadat de privacywet, de Algemene verordening gegevensbescherming (AVG) van toepassing werd start de Autoriteit Persoonsgegevens een voorlichtingscampagne om naleving van de AVG wat ‘makkelijker’ te maken. Het geeft in ieder geval aan dat het toepassen van AVG nog geen vanzelfsprekendheid geworden is. Daarom wil ik eens mijn ervaringen als DPO, Data Protection Officer, met u delen. Mogelijk herkent u zich hierin of zijn er punten die om extra aandacht vragen.

Positieve AVG berichtgeving

Vanuit de praktijk heb ik gezien dat er binnen bedrijven veel bewuster wordt omgegaan met het delen van persoonsgegevens met ‘derden’. Als voorbeeld worden er veel meer verwerkersovereenkomsten afgesloten met flexwerkers en andere samenwerkingspartners. Daarnaast zijn burgers zelf ook veel bewuster geworden en ontdekken hun privacyrechten waar bedrijven, organisaties en andere instellingen gehoor aan moeten geven. Dat is ook terug te zien in de cijfers van de Autoriteit Persoonsgegevens. Ze hebben het druk, want in 2017 deden 9.500 mensen aangifte van een vermoedelijke privacyschending en in 2018 maar liefst 27.000!

De positieve berichtgeving zit niet alleen in de bewustwording, maar ook in de uitvoering. Zo zijn er vele rommelige bureaus met rondslingerende vertrouwelijke documenten opgeruimd. De papieren documenten werden in veel gevallen gescand en veilig digitaal opgeslagen. Maar ook zag ik veel initiatieven waarbij mobiele apparaten en multifunctionele printers beter beveiligd werden met pincodes. Zodat er geen vertrouwelijke prints per ongeluk bij de verkeerde collega terecht kunnen komen.

AVG perikelen

Natuurlijk komt het bij u niet voor, maar zelf schrik ik nog steeds van het grote aantal onbeveiligde data dragers die in allerlei werkomgevingen gebruikt worden. Zoals USB sticks of externe harde schijven die bij verlies of diefstal tot rampzalige gevolgen kunnen leiden. Zo belden veel klanten ‘Even Apeldoorn’ toen de pensioengegevens van tienduizend klanten van een bekende verzekeraar via een USB stick op straat terechtkwamen.

Een andere uitdaging waar bedrijven mee worstelen is om te bepalen waar AVG grenzen liggen. Zo geef ik bijvoorbeeld AVG advies aan onderwijsinstellingen en kwam de vraag naar voren of school verantwoordelijk is als een ouder een filmpje via WhatsApp deelt waar een kind op staat wat niet van hem of haar is. Vaak komt het neer op logisch nadenken. In dit geval kan school alleen maar verantwoordelijkheid dragen als de desbetreffende video op het terrein van school gemaakt is. Daar mogen ouders aangesproken worden, daarbuiten is het hun eigen verantwoordelijkheid.

Waar veel mensen werken, kunnen grote fouten ontstaan

AVG perikelen komen mijns inziens ook vooral voor bij bedrijven waar veel mensen werken en er dus ook veel verschillende meningen zijn. Een recent voorbeeld in het nieuws is van de Belastingdienst. Zij hebben mensen met een tweede nationaliteit in veel gevallen de kindertoeslag ontzegt en zijn nu spraakmakend in het nieuws als overtreders van de AVG wetgeving. Het onderzoekt loopt bij de Autoriteit Persoonsgegevens omdat de Belastingdienst gediscrimineerd heeft bij de toezicht en controle. “Doe ik het nog goed met AVG?” is dus ook voor nationaal erkende instituten een terugkerende vraag.

En u?

Hoe u zich voelt rondom AVG is iets persoonlijk. Of u het goed doet rondom AVG maak ik graag bespreekbaar. De organisaties die ik van dienst kon zijn hebben hier toestemming gegeven om er kort even over te schrijven.

NB: Meer weten over de AVG campagne van de Autoriteit Persoonsgegevens? Klik hier.