24 april 2019 Privacy management Administratie

Bijna een jaar na de invoering van de Algemene verordening gegevensbescherming (AVG) is het eerste stof wel gaan liggen. Toch ziet Janet Drenth, eigenaar van Klaar Bedrijfsjuristen, bedenker van de Prisma-privacytooling en tevens trainer bij Quoratio voor de opleiding Privacy Officer en Administrateur, nog veel angst en onzekerheid bij bedrijven. “Je moet als bedrijf goed weten waar je het voor doet.”

Goede analyses

Drenth adviseerde in de aanloop naar 25 mei 2018 – toen de AVG officieel in werking trad – en daarna verschillende bedrijven, waaronder een grote bank en grote e-commercepartij. Daarbij hanteert zij het uitgangspunt dat een organisatie niet te defensief moet zijn en privacy vanuit een reëel perspectief moet benaderen. “Daarnaast is het belangrijk om niet te veel in checklists en losse producten te denken, maar in structuur en samenhang. Je moet ervoor oppassen dat je je krampachtig aan de wet wilt houden of laat leiden door aannames. Zo ken ik het voorbeeld van een organisatie die voor de urenregistratie een vingerafdrukscan wilde gebruiken. Daarvan werd intern gezegd dat dat niet zou mogen vanuit de AVG, terwijl dat onjuist is. Met een goede analyse van wat je wilt en hoe je dat bereikt, was in deze situatie snel duidelijk te maken dat deze vorm van registratie voor dit doel een prima middel is. Dit illustreert het belang van een niet-angstige en juist constructieve houding ten opzichte van privacy.”

Verwerkingsovereenkomst: nodig of niet?

Een ander wijdverbreid misverstand is volgens Drenth dat een organisatie met al zijn externe partijen een verwerkingsovereenkomst moet afsluiten. Dat is typisch zo’n los product dat geen samenhang creëert. “Ook hier zal een nadere analyse laten zien dat zo’n overeenkomst in veel gevallen niet nodig is. Denk aan je Arbodienst of je accountant. Dan is eerst de vraag of zij verwerker of verwerkingsverantwoordelijke zijn. We zien nu dat veel organisaties tijd en energie steken in overeenkomsten die na een goede analyse overbodig blijken te zijn. Een Privacy Officer kan hierin een belangrijke rol spelen.” Drenth wijst erop dat er een subtiel verschil is tussen een Privacy Officer – waar Quoratio nu een opleiding voor is gestart – en een Functionaris Gegevensbescherming (FG). “Deze laatste heeft vooral een formele rol en houdt intern toezicht op AVG-compliancy. De FG moet ook zijn geregistreerd bij de toezichthouder Autoriteit Persoonsgegevens.”

Doelen bereiken binnen het kader

Volgens Drenth kan een bedrijf beter kijken hoe het binnen de kaders van de wet zijn doelen kan bereiken. “Daar komt de Privacy Officer om de hoek. Zo’n functionaris kijkt naar privacy vanuit het bedrijfsbelang en denkt mee met de directie over alle te nemen maatregelen en de effecten ervan. Zo kunnen goede maatregelen bijdragen aan de reputatie van een bedrijf doordat lekken worden voorkomen en klanten of andere stakeholders kunnen zien dat er op een goede manier met hun gegevens wordt omgegaan. Een Privacy Officer zoekt oplossingen, geeft advies en neemt het voortouw als een organisatie verbeteringen moet doorvoeren.”

Inzicht en rust

Drenth is ervan overtuigd dat een Privacy Officer een belangrijke bijdrage levert aan een organisatie als het gaat om compliancy. “Je ziet nu nog te veel en te vaak dat organisaties voor wie privacywetgeving relatief nieuw is, op een ad-hocmanier omgaan met deze wet- en regelgeving. Een Privacy Officer kan daar verandering in brengen door inzicht te creëren in wat werkelijk nodig is. Hij of zij brengt risico’s in kaart, bepaalt wat nodig is in de sector waarin de organisatie actief is en werkt van daaruit naar inzicht. En dat zorgt weer voor de nodige rust. Rust is weer van belang voor de algehele bedrijfscontinuïteit. Het gaat uiteindelijk om beheerste bedrijfsvoering op alle gebieden, dus ook op het gebied van privacy.”

Proceskennis

Dat juist Quoratio start met een opleiding tot Privacy Officer is volgens Drenth met name toe te juichen omdat zo een optimale koppeling mogelijk is tussen proceskennis en juridische expertise. “Quoratio is heel goed thuis in verschillende administratieve en HR-processen. Die kennis is ook voor Privacy Officer absoluut nodig, wil hij of zij een goede adviserende rol kunnen vervullen. Zonder die kennis is er al snel het risico dat privacy binnen een organisatie op een eiland terechtkomt, zonder link met de bedrijfsvoering. Dat is onwenselijk. De opleiding van Quoratio heeft daar oog voor en kan er zo voor zorgen dat de AVG bij bedrijven een integraal onderdeel is van de bedrijfsvoering. Daarbij past een nuchtere kijk op deze wet- en regelgeving. Je moet goed weten waar je het voor doet.”

delen:
loading