Dagelijks worden we geconfronteerd met allerlei persoonsgegevens. Van telefoonnummers tot realtime GPS locaties, ze zijn overal. Praten over privacy is helemaal hip. Zeker nu er enige paniek ontstaat door de AVG. Per 25 mei 2018 dienen alle Europese organisaties te voldoen aan de AVG. Maar wat moeten we er precies mee?
Wat is de AVG?
AVG staat voor Algemene Verordening Gegevensbescherming. Het is de vervanger voor de WBP (Wet Bescherming Persoonsgegevens). De WPB komt te vervallen, omdat die wetgeving niet langer toereikend is. Daarnaast kende de WBP veel varianten binnen Europa, waardoor er geen eenduidigheid bestaat. Met de AVG dienen alle organisaties aan te kunnen tonen welke gegevens verzameld worden voor welke doeleinden en wie toegang hebben tot die gegevens.
Achterstallig huiswerk
Een veelgehoorde opmerking is, dat het gaat om ‘achterstallig huiswerk’. Dat huiswerk bestaat vooral uit het weggooien of vernietigen van overjarige documenten. Alle loonadministratie die ouder is dan zeven jaar kan sowieso de prullenbak in. Voor veel andere documenten geldt dat ze slechts een paar maand bewaard mogen worden. Duik dus eens in je archieven en laat de versnipperaar op volle toeren draaien!
Overzicht
Vervolgens is het belangrijk overzicht te krijgen. Ga inventariseren welke persoonsgegevens opgeslagen worden en waarom. Ook heeft men het recht te weten wie er bij deze gegevens kan. Je kunt dit bijvoorbeeld in een Excel-sheet gieten. Aan de hand daarvan bepaal je of er bepaalde procedures of andere documenten (zoals een privacyverklaring) opgesteld moeten worden.
Ook externen die jouw gegevens beheren of verwerken moeten in kaart gebracht worden. Denk bijvoorbeeld aan ZZP’ers of de leverancier van je CRM-systeem. Ga ook na of je een verwerkersovereenkomst nodig hebt en/of er zelf één moet opstellen.
“Mag ik even…”
Er zijn veel alledaagse situaties waarbij ‘even’ de privacy geschonden kan worden. “Mag ik even een kopie van je ID-kaart?”, is hiervan een goed voorbeeld. Vaak vragen klanten om legitimaties of certificaten van medewerkers, waardoor persoonsgegevens op meerdere locaties opgeslagen worden binnen of buiten het bedrijf. Dit is niet langer toegestaan zonder uitdrukkelijke toestemming. In dat geval spreken we van geautoriseerde toegang.
Datalek
Zodra iemand ongeautoriseerde toegang heeft tot gegevens die hij/zij niet zou mogen zien, spreken we van een datalek. Dit kan online of offline zijn en bewust of onbewust.
- Iemand heeft je wachtwoord achterhaald en logt in op jouw apparaten.
- Een collega ziet een vertrouwelijke mail op je beeldscherm staan.
- Je vangt een telefoongesprek op waarin gevoelige informatie wordt besproken.
- Een document met persoonsgegevens ligt onbeheerd op een bureau.
Zulke situaties moeten volgens de AVG geregistreerd worden en (in ernstige gevallen) gemeld worden bij de Autoriteit Persoonsgegevens. Hoe dat precies zit, vind je op deze pagina.
“Je mag ook helemaal niks meer tegenwoordig…”
Daar lijkt het soms wel op… Je leidinggevende mag niet vragen wat je mankeert bij een ziekmelding en gegevens van sollicitanten mogen niet bewaard worden. Sommige regels lijken (met name voor personeelszaken) niet werkbaar. Het zou ons dus niet verbazen als er in de komende periode nog gesleuteld gaat worden aan de AVG. Desalniettemin: regels zijn regels. Laat je daarom goed voorlichten door een jurist of andere expert. Er staat veel informatie op internet, maar niet alles is waar of relevant voor jouw bedrijf!
Bij Altop Groep doen we in elk geval ons uiterste best om zorgvuldig om te gaan met gegevens van medewerkers en andere personen. Met het juiste advies en de medewerking van alle betrokkenen, zullen wij de privacy borgen waar mogelijk.
Klik niet voor meer informatie over de AVG.
Disclaimer: Aan dit artikel kunnen geen rechten worden ontleend. Altop Groep is geen juridisch adviesorgaan. Deze blog is puur ter informatie en om te illustreren hoe onze organisatie de AVG ervaart en invult.
