Het UWV stuurt per ongeluk privégegevens van 2400 cliënten naar 96 werkzoekenden. Door een softwarefout waren privégegevens van negen werkzoekenden die staan ingeschreven bij Randstad voor iedereen in te zien. Zomaar twee recente voorbeelden van hoe het mis kan gaan met het beveiligen van data. Hoe staat het ervoor met de privacy, een kleine drie maanden nadat de AVG van kracht werd?
Binnen een maand nadat de Europese privacywet AVG van kracht werd, dienden vele honderden mensen een klacht in bij privacywaakhond Autoriteit Persoonsgegevens (AP). Uit de klachten blijkt dat bedrijven nog grote slagen te maken hebben voor zij voldoen aan de wet. Bijna een derde van de klachten kwam van mensen die problemen ondervinden bij het verwijderd krijgen van hun persoonsgegevens. Daarnaast klagen mensen dat zij hun gegevens niet mogen inzien en over ongewenste verstrekking van hun gegevens aan derden. Het grootste deel van de klachten gaat over bedrijven (87%).
Matthijs Onder de Linden, data protection officer (DPO) bij Redmore Group, waarschuwt dat de aandacht voor de nieuwe regelgeving niet mag verslappen. Volgens Onder de Linden draait het er daarbij vooral om dat databescherming onderdeel moet zijn van de bedrijfscultuur. Onder de Linden: “Ondanks de grote hoeveelheid aandacht die door compliance officers is besteed aan de AVG, is het de vraag of medewerkers twee maanden na invoering nog steeds aandacht hebben voor deze nieuwe regelgeving en, belangrijker nog, het zien als een levensstijl. De aandachtsspanne voor dit onderwerp is van korte duur. Daarom is het cruciaal dat het management zich focust op een blijvende gedragsverandering.”
Volgens Onder de Linden is het focussen op de angst voor het krijgen van een boete niet de juiste manier is om compliant te worden. “Omdat er vanaf de officiële deadline minder aandacht is voor de AVG wordt de kans groot dat medewerkers weer terugvallen in hun oude patroon en bijvoorbeeld gevoelige data verspreiden. Gaat dat mis, terwijl klanten en consumenten door de AVG juist verwachten dat er extra voorzichtig wordt gehandeld, dan kan dat een flinke aanslag zijn op de reputatie van een organisatie.”
De belangrijkste les voor bedrijven is dat zij medewerkers ervan moeten overtuigen dat de privacywet veel meer is dan alleen een richtlijn. “Medewerkers moeten zélf de behoefte voelen om zich op zo’n manier te gedragen dat ze continu de nieuwe wet naleven, zonder hierbij na te denken over een mogelijke repressie. Zij moeten het als taak en onderdeel van hun werk zien om elkaar te motiveren en aan te spreken wanneer de AVG niet wordt nageleefd. De manager speelt een belangrijke rol in het creëren van deze intrinsieke behoefte en cultuurverandering. In de praktijk komt het er dan ook op neer dat het management zo’n 90 procent van de tijd bezig is met aanmoedigen en 10 procent met politieagent spelen. Alleen zo wordt respect voor privacy- en databescherming een vast onderdeel van de dagelijkse bedrijfsvoering en wordt er niet alleen gehandeld uit angst voor een boete of reprimandes van het management: de enige manier om als bedrijf compliant te blijven.”
De Autoriteit Persoonsgegevens (AP) is gestart met een verkennend onderzoek om te achterhalen hoe goed grote organisaties de nieuwe Europese privacyregels naleven. Bij een willekeurige steekproef van dertig grote organisaties uit tien private sectoren onderzoekt de AP of zij een register van verwerkingsactiviteiten bijhouden. Organisaties zijn verplicht het register te verstrekken als de AP hen daar om vraagt. Het register is verplicht voor alle organisaties met meer dan 250 medewerkers. Kleinere organisaties moeten een register van verwerkingen hebben als zij voldoen aan minimaal één van de volgende criteria:
Bron: pwnet.nl