5 maatregelen om AVG-boetes te voorkomen

Het laten verwijderen van persoonsgegevens blijkt nog niet zo eenvoudig te zijn. De Autoriteit Persoonsgegevens (AP) ontvangt hierover de meeste privacyklachten.

Volgens Experis Ciber wijst dit op een gebrek aan governance. Het consultancybedrijf adviseert organisaties om snel verbeteringen door te voeren.

De Algemene verordening gegevensbescherming (AVG) die op 25 mei 2018 in werking trad, kent betrokkenen uitgebreide privacyrechten toe. Zo hebben ze het recht om een klacht in te dienen bij de AP. Binnen een maand maakten maar liefst 600 burgers gebruik van deze mogelijkheid. 

Een groot deel van de klachten ging over het niet inwilligen van een verzoek tot verwijdering van persoonsgegevens. Ook klagen mensen dat ze de eigen persoonsgegevens niet mogen inzien.

"In de meeste gevallen is er geen sprake van onwil, maar zijn de processen nog niet op orde", stelt Marleen Pijpelink, principal consultant Enterprise Information Management bij Experis Ciber. "Organisaties zitten met de handen in het haar als er bijvoorbeeld een inzage- of verwijderverzoek binnenkomt. Dan blijkt dat het verwerkingsregister nog niet volledig is en weten ze niet waar ze de opgevraagde data kunnen vinden. Ook is vaak niet duidelijk wie zo'n verzoek in behandeling moet nemen en blijft de aanvraag liggen."

Voorbereiden op een verzoek
Pijpelink adviseert bedrijven om met het oog op de AVG nog een keer goed naar de eigen processen te kijken. Organisaties die hier geen werk van maken en geen bereidheid tot verbetering tonen, riskeren immers een forse boete. Die kan in het ergste geval oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Om adequaat te kunnen reageren op een verwijder- of inzageverzoek is echter nog meer nodig. Pijpelink haalt 5 punten aan waar organisaties op moeten letten:

1. Governance
"Governance is ontzettend belangrijk. Daar begint het mee. Zorg er bijvoorbeeld voor dat verzoeken op een centraal punt binnenkomen. Bij ieder verzoek moet direct duidelijk zijn wie verantwoordelijk is voor de opvolging en waar de gevraagde gegevens zijn opgeslagen. Concretiseer de wetgeving in procedures. Zorg er ook voor dat afdelingen samenwerken om gegevens verwijderd te krijgen."

2. Kennis van de AVG
"Het komt vaak voor dat medewerkers die een verzoek onder ogen krijgen weleens hebben gehoord over de AVG, maar de details niet kennen. Ze weten niet dat klanten een verzoek kunnen indienen om persoonsgegevens in te zien of te verwijderen. Zorg er met bijvoorbeeld nieuwsbrieven, cases op intranet of gerichte cursussen voor dat de benodigde kennis landt binnen de organisatie. De inhoud van de AVG moet overal binnen de organisatie bekend zijn, en niet alleen bij legal of een privacy-officer."

3. Aanstelling functionaris voor gegevensbescherming
"Zeker voor 'verkokerde' organisaties is het verstandig om iemand de 'FG-rol' te geven, ook als je niet verplicht bent om een functionaris voor gegevensbescherming aan te stellen. Als er geen verplichting is, kan bijvoorbeeld de privacy-officer die rol op zich nemen. De FG is de spin in het web die de moeilijke vragen van bijvoorbeeld klanten kan beantwoorden. Deze functionaris kent de mensen en processen en weet waar hij of zij de benodigde informatie moet halen."

4. Techniek
"Het is niet altijd mogelijk om gegevens te verwijderen. Het kan zijn dat de optie ontbreekt om gegevens te zoeken, of dat systemen een (geautomatiseerde) verwijdering van gegevens niet toestaan. Kijk of er updates voor de betreffende systemen beschikbaar zijn die een geautomatiseerde verwijdering wel mogelijk maken. Of neem afscheid van een systeem en maak duidelijk hoe je een migratie naar een nieuw systeem vorm gaat geven. Maar ook een oplossing voor Enterprise Content Management (ECM) kan je helpen bij het veilig en overzichtelijk vastleggen, archiveren en vernietigen van gegevens."

5. Communicatie
"Ondanks alle maatregelen kan het toch lastig zijn om een verzoek binnen de gestelde termijn in te willigen. Misschien staan de opgevraagde persoonsgegevens over heel veel systemen verspreid, of zijn ze eerder al (terecht) vernietigd. Dan is het belangrijk om te blijven communiceren met de betrokkenen. Stuur een bevestiging van ontvangst als een verzoek binnenkomt en een bericht als aan het verzoek is voldaan. Maar laat het ook weten als het even wat moeilijker gaat. Zo voorkom je een klacht bij de AP."

Gerelateerde artikelen