Ook 2019 kent zijn hoogte- en dieptepunten als het om privacy en de AVG gaat.

Naast diverse nieuwsberichten en publicaties, maakte de AP in november bekend dat ze zich in ieder geval tot 2023 gaat focussen op datahandel, digitale overheid, artificiële intelligentie en algoritmes.  

De eerste uitspraken over schadevergoeding op grond van de AVG werden gedaan. De gemeente Deventer en UWV moesten beide een schade-vergoeding betalen van 500 en 250 euro. Het “verlies van controle over je persoonsgegevens” ligt ten grondslag aan beide schadevergoedingen. De verwachting is dat door deze uitspraken meerdere schadevergoedingen zullen volgen.

Ook werd de eerste boete onder de AVG uitgedeeld aan het Haga ziekenhuis. Persoonsgegevens waren inzichtelijk voor medewerkers die geen toegang hadden mogen hebben. Eerder hadden zorgverzekeraars VGZ en Menzis, nog onder de Wbp, hiervoor ook al een last onder dwangsom opgelegd gekregen. Geen goede ingerichte autorisatie is duidelijk boete gevoelig!

Ander nieuws was dat het aantal klachten het eerste halfjaar bij de AP met 60% toegenomen was t.o.v. de laatste 6 maanden van 2018 en dan moeten de cijfers voor het laatste halfjaar 2019 nog komen. De AP is in gesprek gegaan met het ministerie van Justitie en Veiligheid over de opgelopen achterstand in de afhandeling. Over een concrete oplossing is nog niets gecommuniceerd.

Tenslotte zijn er dit jaar ook aardig wat, zoals ik ze noem, “onzin onder de AVG” berichten voorbij gekomen waarbij de AVG o.a. de schuld kreeg van:

• het niet, door verzekeraars, kunnen informeren van ouders dat tandartsbezoeken van kinderen meeverzekerd zijn. volgens de woordvoerder van de branchevereniging Zorgverzekeraars Nederland maakt de AVG dit onmogelijk;
• het nog nauwelijks melden van criminele, seksuele of arbeidsuitbuiting gevallen. expliciete toestemming onder de AVG maakt dit onmogelijk;
• het niet kunnen doorgeven van een kamernummer door baliemedewerkers in het Meander Ziekenhuis. pas nadat de AP had aangegeven dat dit gewoon mocht heeft het bestuur deze beslissing teruggedraaid.

Mijn wens voor 2020, “zorg dat er voldoende privacy deskundigen opgeleid en werkzaam zijn binnen de organisatie of betrek externe privacy deskundigheid om onhandige en onjuiste privacy beslissingen te voorkomen”.  

Bij deze proost ik alvast op juiste en goede privacy beslissingen in 2020, Afacts helpt u graag verder.

Een persoon wordt met spoed opgenomen in het ziekenhuis. De ambulance komt bij de eerste hulp aan, de persoon wordt onderzocht waarna opname in het ziekenhuis noodzakelijk blijkt. De patiënt wordt naar betreffende afdeling gebracht.

Tot zover niets aan de hand, maar dat gaat veranderen op het moment dat de bezorgde moeder en broer in het ziekenhuis aankomen. Ze hebben wat kleding meegenomen en wil graag hun familielid even zien.

Bij de balie van het ziekenhuis meldt de familie zich en vragen ze waar ze betreffende persoon kunnen vinden. De baliemedewerker antwoordt tot hun stomme verbazing: “Mag ik niet zeggen vanwege de privacy”. De moeder en zoon worden vervolgens naar de eerste hulp gestuurd, daar is namelijk het familielid binnengekomen, met de vage opmerking dat ze daar wellicht wel kunnen vertellen waar ze hun familielid kunnen vinden in het ziekenhuis.

Helaas, bij de eerste hulp worden de moeder en zoon weer terug gestuurd naar de balie…… Vol ongeloof en radeloos melden moeder en zoon zich hier opnieuw. De baliemedewerker houdt wederom vol dat hij helaas niets kan vertellen vanwege de privacy. De moeder steekt de tas omhoog en zegt tegen de baliemedewerker dat hij dan maar de spullen moet gaan brengen omdat zij het ook niet meer weet.

De baliemedewerker denkt diep na en buigt zich dan naar de moeder en broer en fluistert: “Eigenlijk mag ik het niet zeggen, maar uw familielid ligt op afdeling 3d kamer 24”.

Behalve de afdeling en het kamernummer is niets in dit verhaal fictief maar onlangs echt gebeurd in een Nederlands ziekenhuis. Het is te hopen dat dit ziekenhuis deze situatie snel oplost en personeel opleidt zodat ze weten wat wel en niet mag op het gebied van de AVG……..

Nu bijna een jaar na de introductie van de AVG  ben ik inmiddels bij  verschillende organisaties aan de slag (geweest) en praat ik regelmatig met mijn collega’s over de invulling van FG/privacy professional binnen organisaties.

De gemene deler is vaak dat onder het mom van “doe jij de AVG er even bij “ de functie vaak wordt toegevoegd aan de werkzaamheden van een medewerker die binnen de organisatie ook een andere functie heeft variërend van Security Officer, Risk Manager, Legal functionaris, bedrijfsadviseur en controller.

Deze mensen komen vaak voor het blok te staan omdat er sprake kan zijn van belangenverstrengeling en omdat veel organisaties de volle omvang en de impact van de AVG nog steeds niet overzien. Dat is ook logisch, managers vinden het onderwerp over het algemeen nog steeds niet leuk en zien de AVG als een moetje waardoor ze zich ook niet in de materie verdiepen.

De functie van FG/privacy professional wordt niet alleen onderschat als het gaat om de omvang van de werkzaamheden die hier bij komen kijken, maar ook als het gaat om de benodigde kwaliteiten. Uiteraard moet een FG/privacy professional de nodige vakkennis hebben, maar communicatie vaardigheden, een multidisciplinaire achtergrond en kennis van verschillende disciplines zijn ook van niet te onderschatten waarde. Privacy speelt binnen de hele organisatie en bij klanten en een goede FG/privacy professional moet daarom toegankelijk zijn voor vragen, mee kunnen denken met de organisatie en aan de andere kant lef en een rechte rug hebben. Een daadkrachtige persoon die in oplossingen kan denken binnen de kaders van de privacy wet- en regelgeving.

Een externe FG/privacy professional die ook daadwerkelijk over bovengenoemde kwaliteiten beschikt, kan voor uw organisatie de oplossing zijn. Laten we de behoefte van uw organisatie en de mogelijkheden vooral eens in een kennismakingsgesprek bespreken. Bel Annemieke Feyt van Afacts:  +31 640 223 694 of mail naar Annemieke@afacts.nl.

Bijna een jaar nadat de nieuwe wet van kracht is, is bij de meeste bedrijven de AVG stress voorbij. Betekent dat nu dat bedrijven het goed voor elkaar hebben.

Keiharde cijfers heb ik niet, maar ik denk dat de meeste bedrijven het nog helemaal niet zo goed geregeld hebben. Een hoop bedrijven zijn direct met begonnen met het opstellen van privacy documenten zoals een verwerkingsregister en een privacy statement op de website, maar een duidelijke privacy gedachte/beleid ligt hier vaak niet aan ten grondslag.

Het management is hierin leading, zij moet zorgen dat de AVG onderdeel van de dagelijkse bedrijfsvoering wordt, laten zien hoe belangrijk ze privacy vindt en wat er op dit gebied van medewerkers verwacht wordt. Pas als privacy in het DNA van het bedrijf zit, is er sprake van een goede AVG implementatie.

De AVG als onderdeel van de bedrijfsvoering, dit heeft uiteraard tijd nodig, maar door je organisatie te blijven informeren/opleiden op het gebied van de AVG en je personeel vertellen wat je van ze verwacht, is al een goed begin. Deel ook de privacy “missers”, juist door deze te delen leren mensen hiervan en kan de organisatie zich op privacy gebied ontwikkelen.

Meer weten over hoe u de AVG daadwerkelijk binnen uw bedrijfsprocessen kunt implementeren neem dan contact met Annemieke Feyt van Afacts op: +31 640 223 694 of mail naar Annemieke@afacts.nl, dan neem ik contact met u op. Ik help uw organisatie graag met praktisch advies en hulp.

De AVG is inmiddels van kracht, de eerste piek aan media aandacht is voorbij, maar bij een hoop bedrijven moet er nog genoeg gebeuren. Bij de AP zijn t/m eind juni ruim 600 klachten binnen gekomen en beoordeeld.

De AP richt zich verder nu nog hoofdzakelijk op de aanwezigheid van een Functionaris Gegevensbescherming bij overheidsinstellingen, de zorg, financiële dienstverlening en grote bedrijven. Ondertussen worden vooral MKB bedrijven “bang” gemaakt doordat andere bedrijven of nepmedewerkers van de AP op de hoge boetes wijzen bij niet compliancy aan de AVG.

Laat je als bedrijf niet gek maken door deze bangmakerij, maar begin als eerst met het vastleggen van alle processen waarin je persoonsgegevens verwerkt en dat je je klanten en personeel laat weten dat je het beschermen van hun persoonsgegevens serieus neemt.
Bepaal vervolgens met betrokken medewerkers en/of specialisten wat de nieuwe wetgeving verder voor je bedrijf betekent en wat er nog moet gebeuren.

Hulp nodig of wil je weten waar je bedrijf staat als het om AVG compliancy gaat, bel Afacts: +31 640 223 694 of mail naar annemieke@afacts.nl

1. Nog bezig met de AVG. De AVG is al live sinds 25 mei 2016 maar wordt pas gehandhaafd sinds 25 mei 2018. Elk bedrijf zou nu al klaar moeten zijn.

2. Reageer om deze nieuwsbrief te blijven ontvangen. Klanten mag je altijd al mailen (om ze te informeren over soortgelijke producten of diensten) en mensen die al eerder goedkeuring hadden gegeven, hoeven dat niet nogmaals te doen. De enige reden om zo’n mail te versturen is als je geen bewijs van goedkeuring hebt opgeslagen.

3. Vul dit AVG-formulier in. De AVG wordt doorgezet als belasting op de consument, door ze een formulier te geven waarop ze hun persoonsgegevens invullen en nadrukkelijk toestemming moeten geven voor het gebruik van de gegevens. Maar wanneer persoonsgegevens nodig zijn voor het leveren van een product of dienst (zoals contactgegevens bijvoorbeeld), is er al een wettelijke grond.

4. Alles of niets. Bij AVG-formulieren en cookies wordt je voor de keuze gesteld: ga akkoord met alles of stop met het gebruikmaken van onze website of dienst. Volgens de AVG zou de website of dienst juist moeten zijn ingericht met privacy als uitgangspunt (“privacy by design“). Het zou het functioneren niet in de weg mogen staan. Cookiewalls mogen dus niet, evenmin als het verplicht maken van persoonsgegevens die niet nodig zijn.

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming van kracht, de grootste wetswijziging op het gebied van databescherming in twee decennia.

Minder data, meer kwaliteit en aantoonbaar ‘consent’ wordt het nieuwe uitgangspunt. Er zijn nog maar weinig organisaties die dit goed hebben ingericht: het biedt dus een geweldige kans om u te onderscheiden.

Gebruik de AVG om de organisatie even flink ‘op te schudden’ met innovatie als hoger doel. Creëer bewustzijn bij medewerkers door oude gewoontes tegen het licht te houden en te vervangen door nieuwe processen die niet alleen in lijn zijn met de AVG maar ook een prettigere manier van werken tot gevolg hebben.

Fatsoenlijk omgaan met elkaars gegevens wordt DE nieuwe kwaliteitseis, als uw klant dit ook zo ervaart zal hij ook bereid zijn data met uw bedrijf te delen en sneller geneigd zijn een product of dienst af te nemen.