Vijf tips om veiliger om te gaan met persoonsgegevens en de AVG

De Algemene Verordening Gegevensbescherming (AVG) zorgt bij veel bedrijven voor een hoop onrust. Hoe gaan wij ermee om?
Identificatie AMP Groep

Nu waren we bij AMP Groep al wat gewend, zo bezorgen we reisdocumenten voor ruim 50 gemeenten en (gekoelde) medicijnen namens apotheken en ziekenhuizen. 

Toch heeft de AVG ook bij AMP Groep er toe bijgedragen dat we de spreekwoordelijke puntjes op de “i” hebben gezet. Graag deel ik wat wij hebben geleerd om veilig om te gaan met persoonsgegevens en daarmee ook te voldoen aan de eisen van de AVG.

1. Laat je certificeren

Toegegeven; het begon ooit, omdat we van opdrachtgevers de vraag kregen wanneer we onze ISO 27001 en ETSI certificering (informatiebeveiliging) gingen halen. In het begin was dit even wennen en vonden we een hoop zaken bureaucratisch, maar uiteindelijk heeft de certificering ons juist enorm geholpen.

Het bemachtigen van dit certificaat zorgt er namelijk voor dat je gestructureerder gaat werken. Je wordt gedwongen om op meer detailniveau bezig te zijn met je beleid, allerlei maatregelen te nemen op het gebied van versleuteling van informatie, incidenten te analyseren op hun ‘root cause’, et cetera. Ook zorgt een auditeur die een meerdaagse audit komt uitvoeren ervoor dat iedereen nog iets meer zijn best doet of zoals het spreekwoord luidt: vreemde ogen dwingen!

2. Privacy is geen project

Veilig omgaan met persoonsgegevens of voldoen aan de AVG is geen project. Een project veronderstelt namelijk dat het op een moment ‘klaar’ is. Wat juist belangrijk is, is dat elke medewerker en leidinggevende continu bezig zijn met het beschermen van persoonsgegevens.

Ofwel, is het nog steeds nodig om een bepaald persoonsgegeven te bewaren? Zijn er extra maatregelen nodig om persoonsgegevens nog beter te beschermen? Dit zijn zomaar een paar voorbeelden van vragen die continu aandacht nodig hebben.

3. Maak inzichtelijk waarom bescherming van persoonsgegevens belangrijk is

In het begin maakte we de fout door al snel te zeggen: ‘dat moet van ISO’. Dat was dan een makkelijke manier om een discussie te beëindigen over de noodzaak van een maatregel. Dit leidt echter niet tot veel draagvlak. Alles wat dan ‘niet van ISO moet’, blijft dan bij het oude.

Verstandiger is om continu uit te leggen wat de reden is waarom er zorgvuldig met persoonsgegevens moet worden omgegaan. Het gaat uiteindelijk om zaken waarin iedereen zich kan inleven zoals de mogelijk verregaande gevolgen van bijvoorbeeld identiteitsfraude.

Op websites van programma’s zoals Kassa en Radar staan zat fragmenten van mensen die dit is overkomen. Laat een dergelijk fragment aan je medewerkers zien en je zult zien dat er meer begrip komt én dat medewerkers actiever gaan meedenken over het beveiligen van persoonsgegevens.

4. The devil is in the details

Door onze ISO 2700 en ETSI certificeringen was het beleid rondom het bewaren van persoonsgegevens al bepaald en in praktijk gebracht. Toch hebben we het met medewerkers van alle afdelingen diverse malen besproken en in detail vastgelegd:

– Welke gegevens we nodig hebben om namens opdrachtgevers onze taken uit te voeren;
– Hoe lang we die persoonsgegevens bewaren;
– Hoe de beveiliging per systeem/locatie is ingeregeld waar persoonsgegevens zijn opgeslagen.
– Hoe we zorgen dat we persoonsgegevens veilig verwijderen;
– Hoe we controleren of het verwijderen goed gaat.

Zo bleek dat sommige persoonsgegevens bij AMP Groep dubbel werden bewaard. Ondanks dat dat op een beveiligde manier gebeurde, hadden we daarmee een dubbel risico op verlies van data. Het voordeel van deze gedetailleerde en grondige aanpak is dat de verplichtingen van het privacyregister en de privacy impact assessment (PIA) daarmee al grotendeels zijn afgedekt.

5. Zonder directiebetrokkenheid geen kans van slagen

Om persoonsgegevens optimaal te beschermen is mankracht nodig. Op het moment dat een bedrijf hier vaart achter wil zetten moeten er dus andere zaken (tijdelijk) wijken. Dit betekent dus dat een marketingproject iets kan vertragen, of dat een accountmanager ook bij dit soort vergaderingen aanwezig moet zijn en dus niet bezig is met bijvoorbeeld een nieuwe ‘lead’.

Als de directie het belang hiervan niet duidelijk benadrukt, dan is de kans groot dat de ‘oerkrachten’ in een bedrijf ervoor zorgen dat privacybescherming een ondergeschoven kindje is van veel afdelingen, ze maken zich dan waarschijnlijk primair zorgen over bijvoorbeeld commerciële zaken.

Bij AMP Groep zijn alle medewerkers bijvoorbeeld door een directielid in kleine groepjes bijgepraat over wat de AVG voor AMP Groep betekent. Ook is er al lang geleden voor gekozen om de privacy officer een onafhankelijke status te geven, bij AMP Groep rapporteer ik dan ook direct aan de algemeen directeur.

Tot slot

Ik hoop dat deze vijf tips je helpen om de bescherming van persoonsgegevens verder te verbeteren. Op ampgroep.nl/privacy staat overigens beschreven hoe we met persoonsgegevens omgaan. Heb je vragen of suggesties hierover? Ik hoor het graag!

Deel dit artikel:

Share on linkedin
LinkedIn
Share on email
Email
Share on whatsapp
WhatsApp
LEES OOK
Scroll naar top