Doortje Kerpershoek, Hoofd Informatiemanagement bij 3W, vertelt wat de gevolgen zijn van de AVG voor de organisatie van 3W. |
Er is veel over gesproken afgelopen jaar, maar kun je in het kort uitleggen wat de AVG is?
Doortje: “De Algemene Verordening Gegevensbeheer is een Europese verordening, die per 25 mei 2018 van kracht werd. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. Het is een aanscherping van de Wet Bescherming Persoonsgegevens (Wbp) die in Nederland al gold.”
Wat is het verschil tussen deze twee wetten?
Doortje legt uit dat het grote verschil tussen de AVG en de Wbp is dat de Wbp uitging van wat organisaties allemaal moeten organiseren voor het beschermen van gebruikte persoonsgegevens, terwijl de AVG uit gaat van de bescherming van de medewerker (betrokkene) zelf. En de rechten die de medewerker hier zelf in heeft. Bijvoorbeeld om zijn eigen gegevens in te zien, te laten aanpassen of verwijderen of om bezwaar te maken. Dat klinkt heel logisch, maar voor organisaties betekent dit veel meer dan voorheen. Indien iemand bij ons komt met de vraag ‘waar sta ik allemaal geregistreerd bij jullie en wie kan mijn gegevens inzien’, dan moeten we als 3W in kaart hebben van welke diensten betrokkene gebruik maakt, welke verwerkingen hieraan ten grondslag liggen en van daaruit wie dus in welke systemen staat bij 3W én wie hiertoe geautoriseerd is. En niet alleen voor 3W zelf geldt dit, maar ook voor de leveranciers die wij betrekken bij de uitvoering van die verwerkingen en de gegevens die zij dus registreren en beveiligen.
Doortje: “Nog een leuk weetje; we gaan uit van de medewerker. Daarbij maakt het een medewerker niet uit waar de gegevens staan, bij een leverancier of bij 3W zelf. Medewerker heeft te maken met 3W en daarmee is de AVG waarvoor 3W verantwoordelijk is, impliciet een ketenverantwoordelijkheid geworden. Dat betekent dat wij niet alleen verantwoordelijk zijn voor hoe wij zelf met de gegevens omgaan, maar ook hoe onze leveranciers en de onderleveranciers hiermee omgaan. “
Hoe borg je de verantwoordelijkheid die we als organisatie hebben?
Doortje: “Het begint bij het goed in beeld hebben hoe het binnen onze 3W diensten werkt. Om vervolgens te kunnen beoordelen of de gegevens goed zijn beschermd en hoe dan precies. Dit gaat natuurlijk veel verder dan alleen de beveiliging van onze informatiesystemen. Niemand weet zo goed hoe een werkproces werkt als de medewerker zelf. En niemand kan dus ook beter inschatten waar het mogelijk fout kan gaan dan deze medewerker. Het bewust worden van risico’s en je bewust zijn en blijven dat je met iemands persoonsgegevens werkt is mijns inziens het sleutelwoord. Het afgelopen jaar zijn vanuit alle afdelingen binnen 3W medewerkers betrokken geweest bij het in kaart brengen van risico’s en de genomen maatregelen.
En natuurlijk hebben we hier afspraken over gemaakt in de vorm van zgn. verwerkingsovereenkomsten met onze leveranciers. Daarin staat dat ook onze leveranciers de AVG goed moeten regelen met de onderleveranciers. Anderzijds is ook hier bewust worden en blijven het uitgangspunt: dit moet een vast agendapunt worden tijdens leveranciersgesprekken.”
Dit kun je niet alleen. Met wie werk je hiervoor samen?
Doortje: “De bovengenoemde trajecten worden in overleg met onze directie Juridische Zaken en de Functionaris Gegevensbeheer (FG) van het Ministerie van Buitenlandse Zaken gevolgd, die op haar beurt weer samenwerkt met de FG’s van de andere vakdepartementen. Daarnaast krijgen we hulp van de directie Bedrijfsvoering voor het beoordelen van informatiebeveiligingsmaatregelen.“
Dan rijst de vraag; zijn wij in control?
Doortje: “3W is als organisatie in control in die zin dat alle verwerkingen in kaart zijn gebracht en centraal staan geregistreerd. De risico’s en maatregelen zijn beschreven en belegd. Maar we zijn natuurlijk nog niet klaar, want in mijn beleving ben je nooit klaar in deze tijd. Er zijn continue nieuwe risico’s waarvoor je weer nieuwe maatregelen moet treffen. En daarnaast, het kan altijd beter. Er bestaat wel een soort volwassenheidsmodel dat de ADR hanteert zodat we weten waar we nu zitten. Dit helpt om te bepalen waar we ons nog kunnen verbeteren en om hierin prioriteiten te stellen.
Mocht er nog meer interesse zijn, klik hier voor het nieuwe privacy statement op de 3W website.”