Innovatie & Strategie

Dit is een bijdrage van Fruition Partners
Privacy
Meer over het eerste jaar AVG, de eerste boete en de noodzakelijke switch van compliance naar commitment.

GDPR; zijn we al gewend geraakt aan de nieuwe status quo?

Meer over het eerste jaar AVG, de eerste boete en de noodzakelijke switch van compliance naar commitment.

 

 

27 augustus 2019
Door: Fruition Partners, partner

Meer over het eerste jaar AVG, de eerste boete en de noodzakelijke switch van compliance naar commitment.

 

 

Sinds 2012 in de maak, in 2016 gereed en vanaf 25 mei 2018 van kracht. Nu, een jaar na de ‘big bang introductie’ van de Algemene Verordening Gegevensbescherming (AVG) heeft ruim de helft van de betrokken bedrijven en instellingen stappen gezet.

Veel van de regelgeving stamt uit de eerdere Wet Bescherming Persoonsgegevens, maar nu worden bedrijven en instellingen meer gehouden aan hun plicht de data van hun gebruikers te beschermen. Burgers krijgen meer rechten over hoe die gegevens verzameld en gebruikt mogen worden. Allemaal met als doel de privacy van de burger beter te beschermen.

Serieuzer
Onder de AVG zijn bedrijven die data verwerken – wat apocrief, ook wel 'gegevensverwerkers' genoemd – verplicht een aantal maatregelen door te voeren. Zij moeten duidelijk op papier zetten wát voor data ze verzamelen, hoe ze die opslaan, wie er toegang toe heeft, en wat het doel is van het verzamelen van die data. De wet vereist een verantwoording van al deze stappen in een ‘record of processing activities’ (ROPA).

In voorkomende gevallen moeten bedrijven en instellingen een 'data protection impact assessment' (DPIA) uitvoeren: een analyse van de privacy-risico’s die bij een data-intensief proces horen.

Indertijd lag in de media veel nadruk op de hoogte van de mogelijke boetes: oplopend van een waarschuwing tot het opschorten van bedrijfsactiviteiten en een boete tot € 20 miljoen of 4% van de totale jaaromzet. Het heeft zeker bijgedragen aan de verhoogde bewustwording van het belang van gegevensbescherming.

Het eerste jaar
Een recent onderzoek van Motivaction suggereert dat inmiddels meer dan 50% van de betrokken organisaties een functionaris gegevensbescherming (FG) heeft benoemd. Meestal binnen de eigen staf. Soms uitbesteed aan een derde partij.

Opvallend was dat ruim 73% van de betrokkenen aangaf dat er veel meer bij kwam kijken dan verwacht. Als belangrijkste oorzaken werden genoemd: de selectie van de FG, het opstellen van databewerkingsovereenkomsten, het creëren van bewustwording en de training van staf.

In het eerste jaar ontvingen zo’n 13% van de instellingen regelmatig verzoeken tot inzage in persoonsgebonden data. In 7% daarvan ging het om een verzoek uit een bestand te worden verwijderd. Naar verwachting groeit dit aantal vragen en dan is het nuttig als de verslaglegging van alle dataprocessing (ROPA’s) geautomatiseerd is.

De AP verdubbelde in korte tijd haar controlerende capaciteit. Ze voert incidentele controles uit bij overheidsorganisaties, banken en verzekeringsmaatschappijen, bij ziekenhuizen en andere instellingen in de gezondheidszorg.  De Nationale Politie, de Belastingdienst, de Kamer van Koophandel en het UWV werden op de vingers getikt en gesommeerd een deel van hun beleid te herzien. Soms met een last onder dwangsom.

De eerste boete
Inmiddels is de eerste boete in het kader van de AVG uitgedeeld. Het Haga ziekenhuis is aangeslagen voor € 460.000 voor het slordig omspringen met patiëntgegevens.

De AP onderzocht de beveiliging van de patiëntgegevens door het ziekenhuis naar aanleiding van berichtgeving van EenVandaag. De actualiteitenrubriek van AVRO/TROS meldde dat tientallen medewerkers van het ziekenhuis onnodig de medische gegevens van reality-ster Samantha de Jong (beter bekend als Barbie) hadden ingezien.

De AP stelde vast dat het ziekenhuis niet voldeed aan haar eigen beveiligingsregels. Ook controleerde het Haga Ziekenhuis te weinig wie onbevoegd in welk patiëntendossier keek. Ziekenhuizen moeten maatregelen nemen om te zorgen dat medewerkers niet zomaar in patiëntgegevens kunnen grasduinen. “De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent,” aldus Aleid Wolfsen, voorzitter van de AP.

Van compliance naar commitment
Door de dreigende boetes realiseren bedrijven en instellingen zich meer dan ooit dat ze aan de regels moeten voldoen; maar ook wat de waarde daarvan is. Van der Veen van Privacy First maakt de vergelijking met de Arbowetgeving: “Je kunt je afvragen waarom je goede, dure stoelen voor je werknemers moet kopen, totdat je snapt dat slechte stoelen leiden tot ziekteverzuim en minder goede werknemers."

De hedendaagse digitale economie staat of valt bij de veiligheid van data. Het levert concurrentievoordeel en biedt mogelijkheden tot een intensieve en waardevolle relatie met alle stakeholders. Anderzijds ondermijnt een slecht geregelde veiligheid het vertrouwen in een digitale transformatie.

Los van de flagrante nieuwsgierigheid van het personeel en de nonchalance van de leiding bij Haga, is de praktijk weerbarstig.

Het op de juiste manier regelen van de toegang tot het elektronisch patiëntendossier in een ziekenhuis als Haga, met ruim 3.600 personeelsleden en 275 specialisten, is geen sinecure. De privacy moet worden gewaarborgd, maar de medewerkers moeten ook hun werk goed kunnen doen. Dagelijks beginnen nieuwe medewerkers en vertrekken anderen. Mensen wisselen van functie en soms moet door ziekte een paar uur voor een dienst begint een collega taken overnemen. Zorg moet immers doorgaan. Dat stelt hoge eisen aan systemen en discipline.

De truc zit ’m in een combinatie van restricties vooraf en controles – dus dat je weet wie welk dossier heeft ingezien – achteraf. Dat zijn de regels, maar in de praktijk is het schier onmogelijk gegevensbescherming sluitend te regelen zonder de werkbaarheid geweld aan te doen.

Je bent er daarom niet door af te vinken aan welke regels je voldoet. We hebben behoefte aan betrokkenheid van de instelling en de medewerkers om persoonsgebonden data verantwoord en met respect te behandelen: een mind shift van ‘compliance’ naar ‘commitment’.

Tot slot
De eerste stap van de AVG is inmiddels gezet; er is bewustzijn, en bedrijven beginnen steeds meer te wennen aan de nieuwe status quo. De volgende stap is die van handhaving. Met een verwijzing naar de assertiviteit en het boetebeleid van het AP is dat voor sommigen een oefening in geduld.

Het is goed dat bedrijven en instellingen hun klanten, patiënten, burgers – in digitale zin – goed kennen. En dat fatsoenlijke omgangsvormen uit het dagelijks leven dienen – als vanzelfsprekend – een digitale component kennen. Zo is de bescherming van de digitale persoonlijke levenssfeer een hoeksteen voor een succesvolle digitalisering van de samenleving en is het ook prettig kennis te maken in digitale zin.

Reactie toevoegen