Ook 2019 kent zijn hoogte- en dieptepunten als het om privacy en de AVG gaat.

Naast diverse nieuwsberichten en publicaties, maakte de AP in november bekend dat ze zich in ieder geval tot 2023 gaat focussen op datahandel, digitale overheid, artificiële intelligentie en algoritmes.  

De eerste uitspraken over schadevergoeding op grond van de AVG werden gedaan. De gemeente Deventer en UWV moesten beide een schade-vergoeding betalen van 500 en 250 euro. Het “verlies van controle over je persoonsgegevens” ligt ten grondslag aan beide schadevergoedingen. De verwachting is dat door deze uitspraken meerdere schadevergoedingen zullen volgen.

Ook werd de eerste boete onder de AVG uitgedeeld aan het Haga ziekenhuis. Persoonsgegevens waren inzichtelijk voor medewerkers die geen toegang hadden mogen hebben. Eerder hadden zorgverzekeraars VGZ en Menzis, nog onder de Wbp, hiervoor ook al een last onder dwangsom opgelegd gekregen. Geen goede ingerichte autorisatie is duidelijk boete gevoelig!

Ander nieuws was dat het aantal klachten het eerste halfjaar bij de AP met 60% toegenomen was t.o.v. de laatste 6 maanden van 2018 en dan moeten de cijfers voor het laatste halfjaar 2019 nog komen. De AP is in gesprek gegaan met het ministerie van Justitie en Veiligheid over de opgelopen achterstand in de afhandeling. Over een concrete oplossing is nog niets gecommuniceerd.

Tenslotte zijn er dit jaar ook aardig wat, zoals ik ze noem, “onzin onder de AVG” berichten voorbij gekomen waarbij de AVG o.a. de schuld kreeg van:

• het niet, door verzekeraars, kunnen informeren van ouders dat tandartsbezoeken van kinderen meeverzekerd zijn. volgens de woordvoerder van de branchevereniging Zorgverzekeraars Nederland maakt de AVG dit onmogelijk;
• het nog nauwelijks melden van criminele, seksuele of arbeidsuitbuiting gevallen. expliciete toestemming onder de AVG maakt dit onmogelijk;
• het niet kunnen doorgeven van een kamernummer door baliemedewerkers in het Meander Ziekenhuis. pas nadat de AP had aangegeven dat dit gewoon mocht heeft het bestuur deze beslissing teruggedraaid.

Mijn wens voor 2020, “zorg dat er voldoende privacy deskundigen opgeleid en werkzaam zijn binnen de organisatie of betrek externe privacy deskundigheid om onhandige en onjuiste privacy beslissingen te voorkomen”.  

Bij deze proost ik alvast op juiste en goede privacy beslissingen in 2020, Afacts helpt u graag verder.

Een persoon wordt met spoed opgenomen in het ziekenhuis. De ambulance komt bij de eerste hulp aan, de persoon wordt onderzocht waarna opname in het ziekenhuis noodzakelijk blijkt. De patiënt wordt naar betreffende afdeling gebracht.

Tot zover niets aan de hand, maar dat gaat veranderen op het moment dat de bezorgde moeder en broer in het ziekenhuis aankomen. Ze hebben wat kleding meegenomen en wil graag hun familielid even zien.

Bij de balie van het ziekenhuis meldt de familie zich en vragen ze waar ze betreffende persoon kunnen vinden. De baliemedewerker antwoordt tot hun stomme verbazing: “Mag ik niet zeggen vanwege de privacy”. De moeder en zoon worden vervolgens naar de eerste hulp gestuurd, daar is namelijk het familielid binnengekomen, met de vage opmerking dat ze daar wellicht wel kunnen vertellen waar ze hun familielid kunnen vinden in het ziekenhuis.

Helaas, bij de eerste hulp worden de moeder en zoon weer terug gestuurd naar de balie…… Vol ongeloof en radeloos melden moeder en zoon zich hier opnieuw. De baliemedewerker houdt wederom vol dat hij helaas niets kan vertellen vanwege de privacy. De moeder steekt de tas omhoog en zegt tegen de baliemedewerker dat hij dan maar de spullen moet gaan brengen omdat zij het ook niet meer weet.

De baliemedewerker denkt diep na en buigt zich dan naar de moeder en broer en fluistert: “Eigenlijk mag ik het niet zeggen, maar uw familielid ligt op afdeling 3d kamer 24”.

Behalve de afdeling en het kamernummer is niets in dit verhaal fictief maar onlangs echt gebeurd in een Nederlands ziekenhuis. Het is te hopen dat dit ziekenhuis deze situatie snel oplost en personeel opleidt zodat ze weten wat wel en niet mag op het gebied van de AVG……..

Nu bijna een jaar na de introductie van de AVG  ben ik inmiddels bij  verschillende organisaties aan de slag (geweest) en praat ik regelmatig met mijn collega’s over de invulling van FG/privacy professional binnen organisaties.

De gemene deler is vaak dat onder het mom van “doe jij de AVG er even bij “ de functie vaak wordt toegevoegd aan de werkzaamheden van een medewerker die binnen de organisatie ook een andere functie heeft variërend van Security Officer, Risk Manager, Legal functionaris, bedrijfsadviseur en controller.

Deze mensen komen vaak voor het blok te staan omdat er sprake kan zijn van belangenverstrengeling en omdat veel organisaties de volle omvang en de impact van de AVG nog steeds niet overzien. Dat is ook logisch, managers vinden het onderwerp over het algemeen nog steeds niet leuk en zien de AVG als een moetje waardoor ze zich ook niet in de materie verdiepen.

De functie van FG/privacy professional wordt niet alleen onderschat als het gaat om de omvang van de werkzaamheden die hier bij komen kijken, maar ook als het gaat om de benodigde kwaliteiten. Uiteraard moet een FG/privacy professional de nodige vakkennis hebben, maar communicatie vaardigheden, een multidisciplinaire achtergrond en kennis van verschillende disciplines zijn ook van niet te onderschatten waarde. Privacy speelt binnen de hele organisatie en bij klanten en een goede FG/privacy professional moet daarom toegankelijk zijn voor vragen, mee kunnen denken met de organisatie en aan de andere kant lef en een rechte rug hebben. Een daadkrachtige persoon die in oplossingen kan denken binnen de kaders van de privacy wet- en regelgeving.

Een externe FG/privacy professional die ook daadwerkelijk over bovengenoemde kwaliteiten beschikt, kan voor uw organisatie de oplossing zijn. Laten we de behoefte van uw organisatie en de mogelijkheden vooral eens in een kennismakingsgesprek bespreken. Bel Annemieke Feyt van Afacts:  +31 640 223 694 of mail naar Annemieke@afacts.nl.

Bijna een jaar nadat de nieuwe wet van kracht is, is bij de meeste bedrijven de AVG stress voorbij. Betekent dat nu dat bedrijven het goed voor elkaar hebben.

Keiharde cijfers heb ik niet, maar ik denk dat de meeste bedrijven het nog helemaal niet zo goed geregeld hebben. Een hoop bedrijven zijn direct met begonnen met het opstellen van privacy documenten zoals een verwerkingsregister en een privacy statement op de website, maar een duidelijke privacy gedachte/beleid ligt hier vaak niet aan ten grondslag.

Het management is hierin leading, zij moet zorgen dat de AVG onderdeel van de dagelijkse bedrijfsvoering wordt, laten zien hoe belangrijk ze privacy vindt en wat er op dit gebied van medewerkers verwacht wordt. Pas als privacy in het DNA van het bedrijf zit, is er sprake van een goede AVG implementatie.

De AVG als onderdeel van de bedrijfsvoering, dit heeft uiteraard tijd nodig, maar door je organisatie te blijven informeren/opleiden op het gebied van de AVG en je personeel vertellen wat je van ze verwacht, is al een goed begin. Deel ook de privacy “missers”, juist door deze te delen leren mensen hiervan en kan de organisatie zich op privacy gebied ontwikkelen.

Meer weten over hoe u de AVG daadwerkelijk binnen uw bedrijfsprocessen kunt implementeren neem dan contact met Annemieke Feyt van Afacts op: +31 640 223 694 of mail naar Annemieke@afacts.nl, dan neem ik contact met u op. Ik help uw organisatie graag met praktisch advies en hulp.