365 dagen van privacy, maar een beetje extra op 28 januari

28 januari 2023 / in Nieuws / door team Lex Digitalis

Waarom is aandacht voor privacy zo belangrijk en welke voordelen levert het een organisatie op? Hoewel wij bij Lex Digitalis vinden dat er iedere dag aandacht voor moet zijn, benutten wij vandaag – de Dag van de Privacy – om privacy extra in de spotlight te zetten. In onze optiek moet privacy stevig onderdeel zijn van de organisatiecultuur Wanneer privacy is opgenomen in het DNA van de organisatie, is een dag van de privacy niet meer nodig.

Wij merken regelmatig dat organisaties het voldoen aan de AVG uitsluitend zien als een verplichting en er niet de voordelen van inzien, zoals dat voor velen ook bij het betalen van belasting het geval is. Maar het zorgvuldig omgaan met persoonsgegevens kan een organisatie ook iets opleveren. Hiervoor is wel een andere mindset nodig. Zorgvuldig omgaan met persoonsgegevens heeft in onze visie een maatschappelijk belang en is een aspect van maatschappelijk verantwoord ondernemen (MVO). Klanten waarderen dat meer en meer of vinden het zelfs een noodzakelijke voorwaarde, en daarmee kan privacy als onderdeel van MVO-beleid van een organisatie een unique selling point worden.  Onze collega Sippe van der Tas vertelt je daarover meer in dit artikel.

Graag nemen we je diepgaander mee in enkele onderwerpen die in iedere organisatie aandacht verdienen. Als jij van mening bent dat jouw organisatie privacy meer zou mogen omarmen, is het handig om dit artikel bij de hand te houden.

Inzicht, inzicht, inzicht

Welke processen en systemen hebben we, welke persoonsgegevens gaan daarin om en van wie, voor welk doel, wie is verantwoordelijk, wie kan deze raadplegen en wijzigen en hoe lang bewaren we die gegevens eigenlijk? Om aan de slag te gaan met gegevensbescherming binnen jouw organisatie is het cruciaal om deze vragen te kunnen beantwoorden. Vaak sluipt de waan van de dag in de werkprocessen en horen we ‘’dat doen we al jaren zo!’’ Maar het verkrijgen van inzicht in werkprocessen, systemen en risico’s geeft zicht op verbeterpunten en helpt je te voldoen aan de verantwoordingsplicht.

De kennis is vaak diep in de organisatie te vinden. De uitgelezen persoon binnen je organisatie om de antwoorden op deze vragen te helpen vinden is de privacy officer. Nienke Koorn geeft je antwoord op de vraag welke eigenschappen, talenten en vaardigheden – naast opleiding en ervaring – belangrijk zijn voor een privacy professional. In dit artikel zoomt ze hierop in.

In een verwerkingsregister worden de verschillende verwerkingen van persoonsgegevens opgenomen. Dit helpt om het overzicht te bewaren. Wanneer je over dit overzicht beschikt is het goed om vast te stellen hoe je als organisatie met mogelijke risico’s om zult gaan. Hiervoor kan risicomanagement worden toegepast. Risicomanagement is een cyclisch proces (de PDCA-cyclus) dat gaat over het inzichtelijk maken en beoordelen van risico’s en het nemen van maatregelen die deze risico’s voorkomen of beheersen. In dit artikel over risicomanagement van onze collega Leandra Beerendonk lees je hoe je dit toepast in jouw organisatie.

Wanneer je in het verwerkingsregister mogelijk risicovolle processen hebt aangetroffen, is het van belang om een DPIA uit te voeren. Onze collega Nienke Koorn legt je aan de hand van vier DPIA instinkers uit waar je op moet letten. Zij neemt de meest voorkomende instinkers onder de loep, zodat jij er na het lezen van dit stuk niet meer intrapt!

Nu je zicht hebt op wat er zoal binnen de organisatie gebeurt en je de risico’s in kaart hebt gebracht, ben je misschien tot de conclusie gekomen dat sommige processen wat meer aandacht voor privacy verdienen. Je moet namelijk bij passende technische en organisatorische maatregelen nemen ter bescherming van persoonsgegevens. Het idee is om zo vroeg mogelijk na te denken over gegevensbescherming, zodat het wordt ingebed in de organisatieprocessen. Daarnaast is het veel lastiger om passende maatregelen later in het proces toe te voegen. In dit artikel over de beginselen van privacy by design & default (letterlijk: gegevensbescherming door ontwerp en standaardinstellingen) vertelt Leandra Beerendonk hoe dit werkt.

Het toepassen van privacy by design & default vraagt je om na te denken over de beginselen van gegevensbescherming uit artikel 5 AVG. Eén daarvan is dataminimalisatie; het beginsel dat je verplicht om alleen die gegevens te verwerken die strikt noodzakelijk zijn voor je verwerkingsdoel. Kort gezegd, verwerk alleen wat je echt nodig hebt. Dat klinkt simpel, maar kan in de praktijk toch lastiger zijn dan op het eerste oog lijkt. Hoe je dat doet lees je hier in een artikel van Nienke Koorn.

Het is niet alleen van belang dat je niet meer gegevens verwerkt dan nodig, maar het is ook belangrijk om na te gaan met welke partijen je deze gegevens deelt en met hen een zogeheten verwerkersovereenkomst te sluiten. Het is niet altijd eenvoudig om vast te stellen of er in een bepaalde situatie een verwerkersovereenkomst gesloten moet worden (en de wet is op dat punt natuurlijk leidend), maar er is wel een soort ‘ezelsbruggetje’. Sippe van der Tas legt het je in dit artikel uit.

Nu weet jij wat er zoal binnen de organisatie omtrent persoonsgegevens gebeurt, maar jouw medewerkers en klanten nog niet. De organisatie heeft een informatieplicht, dat wil zeggen dat je duidelijk en transparant moet zijn over wat je met persoonsgegevens doet. Onze collega Irma Smeding vertelt je over de informatieplicht en de privacyverklaring die je mede daarvoor kunt gebruiken.

Natuurlijk kan er ondanks het verkregen inzicht nog steeds iets misgaan. Denk bijvoorbeeld aan datalekken. Een datalek betreft niet alleen het ‘lekken’ van persoonsgegevens, bijvoorbeeld door het verliezen van een onbeveiligde USB-stick of het laten liggen van documenten met persoonsgegevens in de trein. Sippe van der Tas legt je in het artikel ‘Verrek, is dat ook een datalek?’ uit wat het inhoudt. Nadat je een datalek hebt geconstateerd is het belangrijk te weten wat te doen. Onze collega Dogan Varlioglu legt je graag uit waarom je een datalek serieus moet nemen (in het Engels).

 Je collega’s moeten een datalek herkennen en weten wat ze moeten doen als er een datalek is. Je marketingmanagers moeten begrijpen dat ze niet zomaar e-mailbommen naar alle klanten kunnen sturen en je HR-medewerkers moeten zich bewust zijn van de delicatesse van hun werk met personeelsdossiers. Kortom, het creëren van privacy bewustzijn binnen uw organisatie is belangrijk. Maar hoe zorg je ervoor dat je collega’s zich tijdens hun werk bewust zijn van privacy? (Nienke Koorn, Engels). Om succesvol te zijn in het vergroten van het bewustzijn, is het cruciaal om medewerkers mee te nemen in een bewustwordingsproces. Het onderwerp moet tot leven komen en medewerkers moeten de meerwaarde zien en elkaar stimuleren om aan de slag te gaan met kwaliteitsverbetering. Hoe je dit tot stand brengt vertelt Dogan Varlioglu je in dit artikel over databewustzijn (Engels).

Mensen met basiskennis van privacy zijn belangrijk voor de bewustwording en daarmee onmisbaar voor elke organisatie. Privacy-champions zijn over het algemeen kritische medewerkers met een ethisch kompas dat bijdraagt aan het beschermen van alle betrokkenen. Zoals Nienke Koorn schreef, ze fungeren als lijm in de organisatie.

Zo, nu ben ik klaar!

Helaas, ondanks dat je bergen werk hebt verzet als je alle bovenstaande stappen hebt doorlopen, ben je nooit helemaal klaar met het werken aan gegevensbescherming. Privacy compliance is een cyclisch proces waarbij continu moet worden geëvalueerd, geactualiseerd en beoordeeld. Mede daarom is het belangrijk om privacy in te bedden in het DNA van de organisatie. Het kost tijd om te groeien naar privacyvolwassendheid.

Kom je er zelf toch niet helemaal uit en wil je meer informatie of zou je graag met een van ons willen sparren? Neem dan geheel vrijblijvend contact op met een van onze collega’s.

Paul Dam (06 11489110 of paul.dam@lexdigitalis.nl)

Irma Smeding (06 52892106 of irma.smeding@lexdigitalis.nl)            

Sippe van der Tas (06 28610416 of sippe.vandertas@lexdigitalis.nl)

Nienke Koorn (06 18088514 of nienke.koorn@lexdigitalis.nl)

Dogan Varlioglu (06 18536230 of dogan.varlioglu@lexdigitalis.nl)

Leandra Beerendonk (06 43413086 of leandra.beerendonk@lexdigitalis.nl)

Ben je op zoek naar invulling van je privacy office, of kun je wel wat tips gebruiken? Lex Digitalis biedt hulp bij zowel werving en selectie als consultancy op maat, en kan jouw bedrijf of organisatie helpen bij de perfecte match. Neem contact op via info@lexdigitalis.nl of bel met Nelleke (06 55807795) of Elly (06 24897798) voor meer informatie.