Nieuwe privacywet: wat moet jouw organisatie op orde hebben?

Op 25 mei 2018 is het zover. Vanaf dat moment is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Alle organisaties die persoonsgegevens verwerken, ook in het sociaal domein, moeten aan de AVG voldoen. Wat betekent dit voor jouw organisatie? Sociaal Bestek zocht het uit.

Artikel bewaren

Je hebt een account nodig om artikelen in je profiel op te slaan

Login of Maak een account aan
Foto: AdobeStock

De AVG is op een aantal punten strenger dan de Wbp. Zo krijgen organisaties meer verantwoordelijkheden. Elke organisatie moet kunnen aantonen dat aan de AVG te voldoen. De AVG zorgt ook voor versterking en uitbreiding van de rechten van betrokkenen. De Autoriteit Persoonsgegevens krijgt de bevoegdheid om hogere boetes op te leggen. Dit artikel behandelt drie hoofdlijnen die iedere organisatie op orde moet hebben: processen, mensen en techniek.

Processen

Binnen elke organisatie worden op verschillende plekken persoonsgegevens verwerkt. Denk bijvoorbeeld aan de aanvraag van een maatwerkvoorziening bij het Wmo-loket of een lijst met contactgegevens van vrijwilligers bij een welzijnsorganisatie. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een persoon, zoals naam, geboortedatum en adres. Verwerking van persoonsgegevens heeft dus niet alleen betrekking op de cliënten of vrijwilligers van je organisatie, maar ook op de personen die er werken. Bijvoorbeeld omdat voor de arbeidsovereenkomst persoonsgegevens nodig zijn. De eerste is om nauwkeurig in kaart te brengen hoe de processen van verwerking van persoonsgegevens binnen de organisatie lopen. Op welke plekken worden persoonsgegevens verwerkt? Hoe komen persoonsgegevens binnen, digitaal of op papier? Waar wordt het formulier opgeslagen? Wie kunnen de formulieren inzien? Zodra de verwerkingen van persoonsgegevens binnen de organisatie in kaart zijn gebracht, kan je toetsen of ze aan de AVG voldoen en waar nodig bijsturen.

Functionaris Gegevensbescherming

Maar als organisatie ben je er daarmee nog niet. Processen omvatten veel meer. Weten medewerkers bijvoorbeeld wat zij moeten doen bij een inbreuk in verband met persoonsgegevens (‘datalek’)? Waar zij de Functionaris Gegevensbescherming (FG) kunnen vinden? De AVG introduceert de FG die als het ware intern toezicht houdt op de verwerking van persoonsgegevens. De FG krijgt een aantal taken en verantwoordelijkheden en is degene die de medewerkers binnen de organisatie zal moeten informeren en adviseren over de verplichtingen uit de AVG. Daarnaast moet de FG zorgen voor de bewustmaking en het overdragen van privacykennis aan de medewerkers die persoonsgegevens verwerken. De FG zal moeten adviseren over technologie en beveiliging. De FG zal vragen en klachten van mensen binnen en buiten de organisatie moeten afhandelen. Ook zal de FG met de Autoriteit Persoonsgegevens moeten samenwerken. Belangrijk is dat de FG in onafhankelijkheid de werkzaamheden kan uitvoeren.


campagnebeeld masterclass juridische vraagstukkenHoe kun je de kwaliteit van zorg waarborgen in samenspel met wet- en regelgeving? Hoe verhouden regels en maatwerk zich tot elkaar? En welke invloed heeft de privacywetgeving op het integraal samenwerken en het delen van informatie? Ga er actief mee aan de slag bij de Masterclass Juridische vraagstukken in het sociaal domein. Lees meer >>


Mensen

Naast inzicht in de processen van gegevensverwerking moeten organisaties ook mensen in huis hebben die kennis hebben op het gebied van privacy. Met het aanstellen van de FG wordt een stap gezet, maar de FG gaat niet alles op het gebied van privacy binnen de organisatie regelen. De FG is afhankelijk van andere mensen, zoals ICT, beleidsmedewerkers en consulenten die rechtstreeks contact hebben met cliënten en inwoners en hun persoonsgegevens verwerken. Iedereen moet zich bewust worden van de privacyrisico’s. Zorg er dus voor dat de medewerkers intern worden opgeleid of neem deskundigen aan op het gebied van privacy. De AVG moet ook tussen de oren komen van degenen die persoonsgegevens verwerken. Medewerkers moeten bij de verwerking handelen in de geest van de AVG. Hoe vaak komt het niet voor dat gegevens worden gelekt, omdat iemand een usb-stick per ongeluk kwijt raakt? Of vergeet uit te loggen van zijn/haar laptop, waardoor iemand die er geen recht toe heeft bij de gegevens kan? Cultuur en bewustzijn zorgen ervoor dat juridische eisen geen dode letter worden.

Techniek

Privacy is een samenspel tussen processen en mensen, maar dan missen we nog één belangrijke hoofdlijn, de techniek. Persoonsgegevens worden op verschillende manieren verwerkt. Zo heeft bijna iedereen een smartphone en maakt gebruik van social media als Facebook en LinkedIn die op grote schaal persoonsgegevens verzamelen. Op straat is de kans groot dat een camera kan zien waar je bent. Met je OV- kaart laat je zien hoe je reis loopt. Het sociaal domein sluit aan bij deze digitale wereld. Maar daarbij is het van belang dat de techniek aansluit bij het specifieke doel en persoonsgegevens alleen voor dat doel worden gebruikt. Daarnaast speelt de techniek een rol bij het ontwerp van de systemen waarin persoonsgegevens worden verwerkt. Juist in de allereerste fase, bij het bedenken van een systeem of een koppeling, hoor je meteen aan privacy te denken. Het is raadzaam om de systemen zó te ontwerpen dat je dus vanaf het begin aan de privacy regels van de AVG voldoet. Dit kan bijvoorbeeld door data-minimalisatie en het toepassen van pseudonimisering.

Voorkomen is beter dan genezen

Organisaties doen er dus verstandig aan om zowel de processen, de mensen als de techniek op orde te hebben. Alleen dan is de kans dat je kunt voldoen aan de AVG groot. En uiteraard kun je een inbreuk niet altijd voorkomen. Maar de inbreuk proberen te voorkomen is beter dan genezen.


Lees het hele artikel in Sociaal Bestek van februari/maart >>

 

 

 


 

Geef je reactie

Om te kunnen reageren moet je ingelogd zijn. Heb je nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.