Nieuwe AVG zorgt voor privacy-stress

25 jun Nieuwe AVG zorgt voor privacy-stress

Per 25 mei geldt in de hele EU dezelfde privacywetgeving als de Algemene verordening gegevensbescherming (AVG) in werking treedt. Handig, overal dezelfde regels. Daarnaast zijn er ook zaken níet handig aan de AVG. De onduidelijkheid, bijvoorbeeld, waarover veel veiligheidskundigen zich zorgen maken.

 

Tekst Lydia Lijkendijk (Bron: NVVKinfo editie 2 2018) in samenwerking met organisatieadviseur Kleemans.

 

Dat de AVG eraan komt, eind mei, is geen veiligheidskundige ontgaan. Maar wat dat betekent voor het vak, is nog verre van duidelijk. Advocaat Pascal Willems, die gespecialiseerd is in de relatie tussen privacywetgeving en het sociale domein, signaleert ‘privacy-stress’ bij professionals. “Mensen denken dat er iets enorms aankomt”, zegt hij. “Aan de ene kant is dat zo, want er gaan dingen veranderen. Aan de andere kant: de veranderingen komen niet perse allemaal op het bordje van de veiligheidskundige terecht – tenzij die zzp’er is – en veel meer bij degene die verantwoordelijk is voor de gegevensverwerking.”

 

Register

Want de AVG verplicht de organisatie in een schriftelijk of elektronisch register de verwerking van persoonsgegevens in kaart te brengen en vervolgens bij te houden. Welke persoonsgegevens gebruik je als organisatie, voor welk gerechtvaardigd doel, waar sla je ze op en met wie deel je ze? Omdat de veiligheidskundige onderzoek doet naar en verslag doet van bijvoorbeeld incidenten, uitval en ziekte, krijgt hij hier uitgebreid mee te maken. “Het verwerkingsregister komt in de plaats van de huidige meldingsplicht die organisaties hadden onder de Wet Bescherming Persoonsgegevens”, legt Willems uit. “De nieuwe regels zijn vooral bedoeld om organisaties ervan bewust te maken dat zij verantwoordelijk om moeten gaan met persoonlijke gegevens. En om de rechten van de ‘eigenaren’ van deze gegevens, de zogenaamde  ‘betrokkenen’ beter te borgen. Denk bijvoorbeeld aan het recht op inzage, of een kopie van de persoonsgegevens die verwerkt worden.”

 

Eerst blaffen, dan bijten

Voor veiligheidskundigen, die aan de preventie- en verzuimkant werken met gezondheidsgegevens van medewerkers, is bewustwording van groot belang. “Die gegevens mag je niet verwerken, tenzij er een wettelijke grondslag voor is”, zegt Willems. “De Autoriteit Persoonsgegevens (AP) geeft aan de mogelijkheid om gezondheidsgegevens te verwerken een beperkte invulling. Besef dat wat je doet op dit vlak onder een vergrootglas ligt. Dus als je iets opschrijft: bedenk dan eerst of het noodzakelijk is. Of kun je het op een ándere manier opschrijven? Zitten er risico’s aan, en is je beveiliging op orde?”

Een fout is zo gemaakt, en forse boetes schemeren aan de horizon. Een geruststelling is dat de AP niet meteen bijt, maar eerst waarschuwt. Willems: “Hoe meer er over je geklikt wordt bij de AP, hoe eerder je onder vuur ligt. Maar in de meeste gevallen komt er vermoedelijk niet meteen een boete, maar een waarschuwing dat je iets moet veranderen, zodat je weet wat je fout doet en hoe je dat op kunt lossen.”

 

Burgerlijke ongehoorzaamheid

Een beetje burgerlijke ongehoorzaamheid kan geen kwaad in de praktijk, denkt Willems. Een voorbeeld: “Controles op alcohol en drugs mogen niet van de AP, behalve bijvoorbeeld bij vliegend personeel. In het arbeidsrecht ligt de nadruk veel meer op waarheidsvinding, ook als dat betekent dat bewijs, zoals alcoholgebruik tijdens werktijd, niet is toegestaan. Als werkgever zit je dan met een dilemma. Want aan de ene kant moet je je aan de regels van de AP houden maar tegelijk wil je voorkomen dat iemand met een alcoholverslaving in een bedrijfsvoertuig een klein kind aanrijdt. Uiteraard is dit een persoonlijke afweging, maar voor mij zou de veiligheid van anderen de doorslag geven. Als je tóch op alcohol gaat controleren, probeer dan wel de medische kant goed af te schermen, bijvoorbeeld door een arts dit te laten organiseren.”

Eén ding is duidelijk voor Willems: “Het is niet zo dat werkgevers zich vanzelf aan regels gaan houden als we er maar steeds meer opleggen. Bewustzijn, dat is goed, maar de ontstane dilemma’s zijn lastig in de praktijk.” Voor veiligheidskundigen heeft de advocaat een tip: “Blijf geïnformeerd over de stand van zaken. Wekelijks zijn er ontwikkelingen waardoor het speelveld er anders uit komt te zien.”

 

Gezond verstand

Wie het lastig vindt al deze ontwikkelingen op de juiste waarde te schatten, kan natuurlijk externe hulp inroepen. Marien van Dis, adviseur informatiebeveiliging bij Kleemans, houdt zich in toenemende mate voor opdrachtgevers bezig met advisering over de AVG. Hij vindt het van belang dat veiligheidskundigen de wet goed leren kennen. “Mijn ervaring is dat ze daar vaak geen tijd en zin in hebben. Vaak vinden mensen zo’n wet ingewikkeld, maar als je goed nadenkt over de bedoeling ervan, wordt het al een stuk eenvoudiger; met gezond verstand kom je een heel eind. Je wilt voorkomen dat jouw informatie ergens terecht komt waar deze niet hoort, of gebruikt wordt voor verkeerde doelen.” Om dit door te denken is niet perse externe hulp nodig, stelt Van Dis. “Want het risico van de AVG zit in mensen en hoe zij procedures uitvoeren. Daar kun je als extern adviseur toch niet de hele dag naast zitten. Wel helpen wij opdrachtgevers de bescherming van gegevens goed te borgen in hun processen, dat helpt natuurlijk wel.”

 

Multidisciplinair

Wat ook helpt, is het maken van goede afspraken, zodat duidelijk is wie waarvoor verantwoordelijk is. “Zorg dat je niet te veel gegevens bewaart, en ook niet te lang”, zegt Van Dis, “hoe makkelijk dat ook is in het digitale tijdperk. En vraag je ook af of de beveiliging van die gegevens goed is geregeld. De huidige wet vraagt dit ook al van je. Als je ‘als een goed huisvader’ aan de huidige wetgeving voldoet, verandert er door de AVG niet zoveel.”

Van Dis adviseert daarnaast veiligheidskundigen over de grenzen van hun eigen vak te kijken. “De AVG wil dat je als organisatie passende technische en organisatorische maatregelen treft om persoonsgegevens te beschermen. Wat ‘passend’ is moeten organisaties zelf bedenken. Je zult dus altijd de risico’s in kaart moeten brengen, om daar maatregelen op aan te kunnen laten sluiten.” En dat is een multidisciplinaire aangelegenheid, verzekert hij. “Juristen, ICT’ers en adviseurs vullen elkaar in kennis aan als het gaat om de bescherming van persoonsgegevens. Maak daar vooral gebruik van.”

 

Voordelen, en vooral ook nadelen

Is het toenemende bewustzijn over de privacy een groot voordeel van de AVG, nadelen zijn er ook: het geeft veel rompslomp en er zijn veel grijze gebieden. “Het gevaar is dat we zo gefocust raken op de privacy, dat het een wig drijft tussen werkgevers en werknemers”, zegt advocaat Willems. “De AVG staat een beetje haaks op de arbeidsrelatie, waarin je als werkgever en werknemer sámen dingen moet doen. Totale openheid is wat mij betreft niet nodig. Maar als het om grote belangen gaat, ligt het risico van de bedrijfsvoering, en van de zieke werknemer, helemaal bij de werkgever. Die mag niks weten van de werknemer, maar hij moet wel betalen, en verder is alles onduidelijk. Waarom zou hij nog ouderen aannemen, die meer risico lopen op ziekte? En waarom zou hij laaggeschoolde werknemers niet liever vervangen door een machine? Daar krijgt hij tenminste een handleiding bij!” Willems pleit bij de wetgever voor meer balans, om het te strakke maatkostuum meer passend te krijgen voor arbeidsrelaties. “Want zo kan de AVG ten koste gaan van de positie van de werknemer. Ik zie in mijn praktijk al gebeuren dat de nieuwe regels verlammend werken en voor onrust zorgen.”

“Met gezond verstand kom je een heel eind”



Benieuwd hoe Kleemans Organisatieadvies u kan helpen?