De AVG: één jaar onderweg!

Vanaf 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming daadwerkelijk gehandhaafd door de Autoriteit Persoonsgegevens. Inmiddels zijn we een jaar verder en maakt zo ongeveer iedereen de balans op. Afgelopen week waren er diverse bijeenkomsten waarin bij het “jubileum” werd stil gestaan. Ik werd zelfs nog gebeld door de redactie van RTL-nieuws die er een item over wilden maken. Begin april bracht de AP haar jaarverslag over 2018 uit.

Wat heeft 1 jaar AVG ons gebracht?

In het begin was er vooral veel onduidelijkheid. Vragen die in het onderwijs naar voren kwamen, waren o.a.:

  • moeten we toestemming aan ouders vragen wanneer de schoolfotograaf komt?
  • wat mag er wel en niet in onze nieuwsbrief staan?
  • mag de musical van groep 8 nog wel gefilmd worden?
  • mogen we nog wel ziekmeldingen doen?
  • mogen de kinderen nog wel langs alle leerkrachten met een traktatie als ze jarig zijn (want dan weet iedereen hun geboortedatum)?

Allemaal vragen waar de AVG geen direct antwoord op geeft. Dus diende bij het beantwoorden van de vragen bij het ontbreken van jurisprudentie de wet te worden geïnterpreteerd. Daarbij zijn de basisprincipes die aan de AVG ten grondslag liggen een handig hulpmiddel:

  • Transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten.
  • Doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere doeleinden gebruikt worden.
  • Gegevensbeperking: alleen voor het beoogde doel noodzakelijke gegevens mogen verwerkt worden.
  • Juistheid: de persoonsgegevens moeten correct zijn en blijven.
  • Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel.
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden en tegen verlies of vernietiging.
  • Verantwoordingsplicht: de Verwerkingsverantwoordelijke moet kunnen aantonen aan de regels te voldoen.

Bij een bijeenkomst die DVAN afgelopen week georganiseerd had bleek overigens dat er nog steeds wel onduidelijkheden zijn bij diverse organisaties. Zo waren er een aantal medewerkers van een petrochemisch bedrijf aanwezig die aangaven dat zij medewerkers testen op alcohol- en drugsgebruik terwijl dit niet mag. Hierover is recente jurisprudentie beschikbaar. Maar ja, die moet je dan wel kennen.

Conclusie tijdens de bijeenkomst van afgelopen week was ook dat nog lang niet iedereen AVG-proof is. Het blijft zodoende ook voor komend jaar voor veel organisaties een aandachtspunt. Dit sluit aan bij mijn eigen bevindingen. De vanuit de AVG vereiste registraties zijn nog lang niet bij alle organisaties compleet. Wat ik tegelijkertijd wel merk is dat er veel meer dan voorheen bij individuele medewerkers aandacht is voor het privacy-vraagstuk en in bredere zin informatiebeveiliging. Waar het voorheen schering en inslag was dat medewerkers wachtwoorden met elkaar deelden, gebeurt dit nú voor zover ik kan waarnemen bijna niet meer.

Aandachtspunten voor komend jaar

De autoriteit persoonsgegevens heeft de ambitie om iedere klacht die binnen komt over scheiding van de privacy en iedere melding van een datalek na te trekken. Uit het jaarverslag 2018 blijkt dat er vorig kalenderjaar ruim 8.500 klachten binnen zijn gekomen en ruim 20.000 meldingen van een datalek. De AP heeft op dit moment absoluut de capaciteit niet om alle meldingen te onderzoeken. Zij moet dan ook prioriteiten stellen. Prioriteiten voor 2019 zijn, overheid en zorg, handel in persoonsgegevens en datalekken.

Uit de cijfers van de AP blijkt overigens dat 63% van de gemelde datalekken betrekking heeft op het versturen van een e-mail naar een verkeerde geadresseerde. Daar is dus forse winst te boeken. Door nog meer te werken aan het bewustzijn van medewerkers en door met beveiligde e-mail te werken. Iets wat bij het verzenden van gevoelige persoonsgegevens sowieso een wettelijke verplichting is.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *