GDPR is de Algemene Verordening Gegevensbescherming (AVG)

Waarborging van de privacy wordt steeds belangrijker. Dat is een grondrecht, maar omdat met de verwerking van persoonsgegevens in automatische systemen gemakkelijk fouten kunnen worden gemaakt, is daarvoor speciale wetgeving ontwikkeld. Het Europees Parlement komt met de General Data Protection Regulation (GDPR). Deze is in Nederland bekend onder de Algemene Verordening Gegevensbescherming (AVG), die de Wet bescherming persoonsgegevens op 25 mei 2018 vervangt. Wat betekent dit voor de procesbeheersing en de bescherming van informatie?

De kaders van de wet GDPR leidt tot procesbeheersing:

  1. Wat zijn persoonsgegevens volgens de wet?
  2. Toestemming geven voor gebruik van gegevens
  3. Het gebruik van persoonsgegevens is gekoppeld aan een doel
  4. Information Security Management Systeem moet voldoen aan GDPR/AVG
  5. Compliance officer werkt samen met kwaliteitsmanager en managers

1. Wat zijn persoonsgegevens volgens de wet?

De nieuwe wet heeft een bredere definitie gekozen van wat persoonsgegevens zijn, namelijk iedere vorm van informatie, waarmee iemand (een natuurlijk persoon) kan worden geïdentificeerd. Dat is niet onlogisch, omdat het er in de basis om gaat de privacy te beschermen. Hierdoor vallen niet alleen NAW gegevens onder deze definitie, maar ook bijvoorbeeld nicknames, IP-adressen en identificatiecodes, omdat daarmee iemand uit een groep (data) geïdentificeerd kan worden. Dat mag niet. Wat betekent dit voor uw organisatie? Dat de gegevens van de medewerkers alleen binnen de organisatie mogen worden gebruikt voor de uitoefening van de arbeidsrelatie. Ze moeten bescherm worden, omdat derden met behulp van deze informatie medewerkers kunnen identificeren. Bijvoorbeeld voor een mailing of verkoopactiviteiten.

2. Toestemming geven voor gebruik van gegevens

Zolang medewerkers de werkgever geen toestemming geven persoonsgegevens anders te gebruiken, dan voor de uitoefening van de arbeidsrelatie, is dat andere gebruik niet toegestaan. Daarbij is het logisch dat de organisatie de persoonsgegevens niet mag verkopen, maar mogen die gegevens wel worden gebruikt om de PR van de eigen organisatie te doen? Bijvoorbeeld: Dit is Mark en hij is een van onze lasspecialisten! Zorg er voor dat de organisatie een social media code heeft, zodat dit beleid voorafgaande aan de aanstelling van de medewerker duidelijk kan worden gemaakt. Gegevens gebruiken voor de uitvoering van de loonadministratie is natuurlijk duidelijk een functie, die binnen de arbeidsrelatie past en waarvoor geen aparte toestemming nodig is, maar privé e-mailadressen geven aan commerciële partijen, is wel een functie waarvoor specifieke toestemming nodig is.

3. Het gebruik van persoonsgegevens is gekoppeld aan een doel

Indien toestemming is gegeven voor het gebruik van gegevens, dan is die toestemming alleen van toepassing op het doel waarvoor die toestemming is verkregen. Dus stel dat uw organisatie een nieuwe pensioenverzekering moet afsluiten, dan kan aan de medewerkers toestemming worden gevraagd om de persoonsgegevens aan een aantal marktpartijen te geven om goede offertes en berekeningen te maken. De toestemming geldt dan alleen voor dat doel. Het is dan niet toegestaan deze persoonsgegevens ook te gebruiken voor banken om hypotheken aan te bieden. Een ander voorbeeld, als een klant toestemming geeft om mailingen toe te sturen, dan geldt die toestemming niet voor gebruik van gegevens op de sociale media voor online marketing. Het doel is leidend.

4. Information Security Management Systeem moet voldoen aan GDPR/AVG

Wat betekent dit voor uw organisatie en voor de beheersing van processen? Om te beginnen een uitgebreide inventarisatie van alle processen en de identificatie van gegevens en het gebruik van die gegevens. De praktijk leert dat informatie op veel plekken wordt bewaard, maar op nog veel meer plekken terecht komt. Via kopiëren, mailen, datadragers, laptops en back-up systemen stroomt informatie naar veel locaties. Het Information Security Management System (ISMS) vormt een structuur van regels, kaders en processen, die er voor moet zorgen dat informatie in processen wordt beheerst. Het ISMS moet zo zijn ontworpen dat wordt voldaan aan de AVG.

5. Compliance officer werkt samen met kwaliteitsmanager en managers

De functionaris die hierin een hoofdrol speelt, is de compliance officer. Deze functionaris toetst, stelt regels en maakt (risico)analyses. De samenwerking met andere managers is intensief. In kleinere organisaties wordt deze rol vaak uitgevoerd door de kwaliteitsmanager of een information security officer. Er bestaan veel verschillende namen, maar de inhoud van de functie is vergelijkbaar. De compliance officer volgt de wetgeving en adviseert de organisatie of de praktische toepassing in processen. Vanzelfsprekend ligt deze rol dicht bij de rol van de kwaliteitsmanager en de HR Manager.