zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Vijf maatregelen om AVG-boetes te voorkomen

11 juli 2018 - Het laten verwijderen van persoonsgegevens blijkt nog niet zo eenvoudig te zijn. De Autoriteit Persoonsgegevens (AP) ontvangt hierover de meeste privacyklachten.

Volgens Experis Ciber wijst dit op een gebrek aan governance. Het consultancybedrijf adviseert organisaties om snel verbeteringen door te voeren.


De Algemene verordening gegevensbescherming (AVG) die op 25 mei 2018 in werking trad, kent betrokkenen uitgebreide privacyrechten toe. Zo hebben ze het recht om een klacht in te dienen bij de AP. Binnen een maand maakten maar liefst 600 burgers gebruik van deze mogelijkheid. Een groot deel van de klachten ging over het niet inwilligen van een verzoek tot verwijdering van persoonsgegevens. Ook klagen mensen dat ze de eigen persoonsgegevens niet mogen inzien.
 
Geen onwil
"In de meeste gevallen is er geen sprake van onwil, maar zijn de processen nog niet op orde," stelt Marleen Pijpelink, principal consultant Enterprise Information Management bij Experis Ciber. "Organisaties zitten met de handen in het haar als er bijvoorbeeld een inzage- of verwijderverzoek binnenkomt. Dan blijkt dat het verwerkingsregister nog niet volledig is en weten ze niet waar ze de opgevraagde data kunnen vinden. Ook is vaak niet duidelijk wie zo'n verzoek in behandeling moet nemen en blijft de aanvraag liggen."
 
Voorbereiden op een verzoek
Pijpelink adviseert bedrijven om met het oog op de AVG nog een keer goed naar de eigen processen te kijken. Organisaties die hier geen werk van maken en geen bereidheid tot verbetering tonen, riskeren immers een forse boete. Die kan in het ergste geval oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet.
 
Vijf aandachtspunten
Om adequaat te kunnen reageren op een verwijder- of inzageverzoek is echter nog meer nodig. Pijpelink haalt vijf punten aan waar organisaties op moeten letten:
 
1. Governance
Governance is ontzettend belangrijk. Daar begint het mee. Zorg er bijvoorbeeld voor dat verzoeken op een centraal punt binnenkomen. Bij ieder verzoek moet direct duidelijk zijn wie verantwoordelijk is voor de opvolging en waar de gevraagde gegevens zijn opgeslagen. Concretiseer de wetgeving in procedures. Zorg er ook voor dat afdelingen samenwerken om gegevens verwijderd te krijgen.
 
2. Kennis van de AVG
Het komt vaak voor dat medewerkers die een verzoek onder ogen krijgen weleens hebben gehoord over de AVG, maar de details niet kennen. Ze weten niet dat klanten een verzoek kunnen indienen om persoonsgegevens in te zien of te verwijderen. Zorg er met bijvoorbeeld nieuwsbrieven, cases op intranet of gerichte cursussen voor dat de benodigde kennis landt binnen de organisatie. De inhoud van de AVG moet overal binnen de organisatie bekend zijn, en niet alleen bij legal of een privacy-officer.
 
3. Aanstelling functionaris voor gegevensbescherming
Zeker voor 'verkokerde' organisaties is het verstandig om iemand de 'FG-rol' te geven, ook als je niet verplicht bent om een functionaris voor gegevensbescherming aan te stellen. Als er geen verplichting is, kan bijvoorbeeld de privacy-officer die rol op zich nemen. De FG is de spin in het web die de moeilijke vragen van bijvoorbeeld klanten kan beantwoorden. Deze functionaris kent de mensen en processen en weet waar hij of zij de benodigde informatie moet halen.
 
4. Techniek
Het is niet altijd mogelijk om gegevens te verwijderen. Het kan zijn dat de optie ontbreekt om gegevens te zoeken, of dat systemen een (geautomatiseerde) verwijdering van gegevens niet toestaan. Kijk of er updates voor de betreffende systemen beschikbaar zijn die een geautomatiseerde verwijdering wel mogelijk maken. Of neem afscheid van een systeem en maak duidelijk hoe je een migratie naar een nieuw systeem vorm gaat geven. Maar ook een oplossing voor Enterprise Content Management (ECM) kan u helpen bij het veilig en overzichtelijk vastleggen, archiveren en vernietigen van gegevens.
 
5. Communicatie
Ondanks alle maatregelen kan het toch lastig zijn om een verzoek binnen de gestelde termijn in te willigen. Misschien staan de opgevraagde persoonsgegevens over heel veel systemen verspreid, of zijn ze eerder al (terecht) vernietigd. Dan is het belangrijk om te blijven communiceren met de betrokkenen. Stuur een bevestiging van ontvangst als een verzoek binnenkomt en een bericht als aan het verzoek is voldaan. Maar laat het ook weten als het even wat moeilijker gaat. Zo voorkomt u een klacht bij de AP.
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Zeven gouden beveiligingsmaatregelen die bijdragen aan het voldoen aan de AVG
 AVG leidt tot ethische dilemma’s bij IT’er
 AVG-boetes in Europa lastig verzekerbaar
 Honderden miljoenen cv’s moeten op 25 mei worden verwijderd
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Pas op met het snijden in de kosten als ondernemer
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10