AVG van kracht, maar krijg je privacy in het DNA van de organisatie?

De AVG is sinds 25 mei van kracht. Wij zijn benieuwd hoe het zorgorganisaties sindsdien vergaat. We spraken Bas Keijzer, Functionaris Gegevensbescherming (FG) en ICT-manager bij Zorggroep Sirjon.

 

Eind 2015 ben ik aangesteld als FG voor onze organisatie in verband met de aanscherping van de meldplicht datalekken in de Wbp (Wet bescherming persoonsgegevens). Ik ben begonnen met een risicoanalyse van de persoonsgegevens op basis van beveiligingsvragen. Denk daarbij aan vragen als: Welke persoonsgegevens verwerken we bij Sirjon? Waar zijn deze opgeslagen? Hoe is de beveiliging ervan gesteld? Welke personen hebben toegang? Met de antwoorden op deze vragen heb ik (een voorloper van) een verwerkingsregister opgesteld en met de bewerkers heb ik de bewerkersovereenkomsten opgesteld. Het register voldeed nog niet aan de eisen van de AVG, maar bleek al wel een goede basis. In januari hebben we een AVG-assessment laten uitvoeren door een externe partij. Op basis van dit assessment, gecombineerd met het tienstappenplan van de Autoriteit Persoonsgegevens, hebben we toen een stappenplan voor Sirjon opgesteld. De whitepaper en de workshop van Adapcare, heeft ons erg geholpen om dit stappenplan voor onze zorgorganisatie te concretiseren.

Een belangrijk leerpunt voor ons was dat de rol van de FG niet bij het ICT-domein moet liggen. Enerzijds moet de FG dan teveel zijn eigen vlees keuren. Als ICT-manager zit je namelijk teveel in de uitvoering, zodat toezicht en advies lastiger te realiseren zijn.  ICT-zaken slokken bovendien veel tijd en energie op, zodat er te weinig capaciteit overblijft voor een gedegen toezichthoudende en adviserende rol. Anderzijds de verantwoordelijkheid van privacy. Privacy is immers niet de verantwoordelijkheid van ICT, maar van de hele organisatie; alle medewerkers moeten hierbij betrokken zijn. Daarom hebben we de rol van FG ondergebracht bij de afdeling Beleid en Kwaliteit. Dit geeft direct betere resultaten.

 

Bewustwording is geen gebeurtenis maar een proces. Het is belangrijk dat alle medewerkers weten dat privacy de verantwoordelijkheid is van iedereen, niet alleen van de afdeling Beleid en Kwaliteit of van de FG. 

In 2014 zijn we al begonnen met voorlichtingssessies over informatiebeveiliging en bescherming persoonsgegevens. In 2016 hebben we de voorlichtingssessies herhaald, waarbij de nadruk meer kwam te liggen op persoonsgegevens. Ook nu blijft er nog veel behoefte aan training op het gebied van privacy. Dagelijks krijg ik ongeveer vijf tot tien vragen met betrekking tot privacy.

Met mijn collega Emmely Post, heb ik op alle zorglocaties (een stuk of 20) van onze organisatie privacytrainingen gegeven. Het gaat bij die trainingen niet alleen om bewustwording van ieders verantwoordelijkheid, maar ook om de discussie hierover op gang te brengen. We kregen veel input uit deze sessies over de dagelijkse problemen waar collega’s tegenaan liepen. Oplossingen die men op de werkvloer had bedacht, konden we dan weer doorgeven aan andere locaties. Zo gaat privacy in het DNA van de organisatie zitten.

 

Een ander aspect bij bewustwording is dat het niet alleen moet gaan over wat NIET mag, maar ook wat WEL mag. In de afgelopen weken word je overspoeld met onzin-overeenkomsten, “wij-waken-voor-uw-privacy” etc. Mensen schieten hiervan in de paniekmodus en denken dat er helemaal niets meer mag. De AVG wordt dan als een keurslijf gezien. Natuurlijk is het doel van de AVG om persoonsgegevens te beschermen, maar ook om persoonsgegevens netjes en zorgvuldig te verwerken. Het is in de praktijk soms moeilijk om daar een balans in te vinden, maar dat maakt het tot een heel boeiend onderwerp.

Bewustwording blijft een belangrijke uitdaging. Vaak weten mensen wel wat er wel of niet mag, maar in de waan van de dag met de dagelijkse werkdruk vergeten ze het soms. Bijvoorbeeld: de computer vergrendelen (Windows-logotoets +L) als je naar het toilet gaat. Of: hoe makkelijk exporteert iemand een Excel-bestand met gegevens naar de eigen directory. Vervolgens blijft het daar wel staan. Gevolg: een datalek.

Het is goed dat de AVG sinds 25 mei van kracht is, maar er ligt nog een mooie uitdaging om privacy in het DNA van de organisatie te krijgen.