AVG: hoe is het er nu mee?

TIEL - De afgelopen maanden werd regelmatig over de AVG gesproken, want per 25-05-2018 was het zover; de Algemene Verordening Gegevensbescherming trad in werking voor de gehele Europese Unie. U en wij hebben ons daar natuurlijk op voorbereid. We deden onderzoek naar de consequenties voor onze organisaties en werden (ongevraagd) geïnformeerd door diverse instanties welke maatregelen we moe(s)ten nemen om te kunnen voldoen aan de nieuwe wet. En natuurlijk zijn we nu allemaal AVG-compliant.

Helaas moeten we constateren dat de AVG nogal abstract is en duidelijke uitwerking veelal ontbreekt. Zo staat bijvoorbeeld in artikel 28 van de AVG dat de Verwerker: “… afdoende garanties biedt met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd”. Op welke wijze moeten we deze garanties in de praktijk geven? Hoe moet je bijvoorbeeld persoonsgegevens beveiligd mailen? Als organisatie wil je natuurlijk voldoen aan de AVG, maar het was soms zoeken naar een afdoende oplossing.
Enkele keren heb ik de Autoriteit Persoonsgegevens benaderd om duidelijk te krijgen welke maatregelen voor ons en u als onze klant afdoende zijn. Gelukkig geven zij vaak wel praktische adviezen. Maar soms weten zij ook niet wat de juiste oplossing is en adviseren zij jurisprudentie af te wachten. Belangrijk is dat je kan aantonen dat je binnen je organisatie bewust bezig bent met de AVG. Zorg er daarom voor dat je minimaal beschikt over Verwerkingsregisters en Verwerkersovereenkomsten.

Vanzelfsprekend moet de organisatie technische en organisatorische maatregelen nemen om te kunnen voldoen aan de AVG. Denk bijvoorbeeld aan versleuteling van persoonsgegevens en beleid op het gebied van wachtwoorden en autorisaties en over de manier waarop gevoelige informatie uit kan lekken. Niet alleen digitaal (rondslingerende usb-stick, mail, Excelsheets, e.d.), maar ook informatie op papier!
Minstens zo belangrijk is dat de betrokkenen zich bewust zijn van de omgang met privacygevoelige informatie; op welke wijze verstrekken we persoonsgegevens en aan wie mogen wij deze verstrekken?

Als Functionaris Gegevensbescherming van Merces wil ik u het volgende niet onthouden. Vorige maand verloor in Dordrecht een vrachtwagen vertrouwelijke papieren (salarisstroken, werkgeversverklaringen en jaaropgaven) die voor vernietiging bestemd waren. Voorbijgangers waren attent, hielpen bij het oprapen en zagen de gevoelige informatie. Zo ziet u maar dat privacy niet alleen systemen/applicaties raakt, maar alle activiteiten die in uw organisatie plaatsvinden.

Maar eerst wens ik u een: AVG... Aangenaam Vakantie Genot!

Selfservice in HR2day
Werkt u met HR2day? Wist u dat een van de mogelijkheden van Selfservice in HR2day is dat medewerkers hun eigen loonstrook in kunnen zien in het EIC (Employee Interaction Center)? Op deze manier hoeven de loonstroken niet meer via de email verzonden te worden én kunnen deze niet meer “kwijt” raken of per ongeluk gewist worden. Zo kan deze altijd en overal geraadpleegd worden, helemaal AVG-proof! Bent u benieuwd wat Self Service voor u en uw organisatie kan betekenen? Neem dan vrijblijvend contact met ons op. Wij gaan graag met u in gesprek om de mogelijkheden te bespreken.

Relevante officiële documenten AVG:
Wettekst
Uitvoeringswet
Handleiding

Bron: Merces