Bedrijven kunnen niet om de AVG heen. Deze privacywetgeving, die sinds 25 mei van kracht is, maakt veel bedrijven zenuwachtig. De boetes met een maximum van 20 miljoen, die ermee gemoeid zijn, liegen er dan ook niet om.
Maar wat doen bedrijven nu precies om de AVG in te voeren? Chris Maliepaard, docent bedrijfskunde bij Fontys, begeleidde vier afstudeerstudenten die onderzoek deden naar de invoering van de AVG in verschillende bedrijven. Dit onderzoek werd uitgevoerd in onder andere de meubelbranche, de automotive branche en in een ouderenzorgorganisatie.
“Wat we zien gebeuren, is dat veel bedrijven het wiel opnieuw aan het uitvinden zijn”, stelt Maliepaard. “Zij nemen de wetgeving van A tot Z door en kijken hoe zij deze toe moeten passen”. Volgens Maliepaard is dit in veel gevallen overbodig. “De meeste branches hebben richtlijnen opgesteld, die gewoon direct overgenomen kunnen worden. Dit spaart een heleboel tijd en moeite”.
De AVG is volgens Maliepaard niet voor alle branches even relevant. “Vooral branches waarin gewerkt wordt met gevoelige gegevens moeten alert zijn op de AVG. Het betreft hier onder andere gegevens zoals gezondheidsgegevens en gegevens rondom strafrechtelijk gedrag. Als dit type gegevens op straat komt te liggen, is dit bijzonder kwalijk. Een goed voorbeeld hiervan is 'Barbie' (bekende Nederlander: Samantha de Jong) van wie door onethisch gedrag van medewerkers privacy-gevoelige gegevens omtrent haar gezondheid in de openbaarheid kwamen.”
Volgens Maliepaard komt uit de afstudeeronderzoeken naar voren dat medewerkers de basiselementen van de AVG goed begrijpen. “Medewerkers begrijpen wat de wet inhoudt, waarom deze is geïntroduceerd en dat het gaat om de bescherming van privacy-gevoelige gegevens. Het kennisniveau van medewerkers over de AVG is dus ruimschoots aanwezig.”
“Waar het mank gaat, is dat medewerkers niet altijd weten hoe zij de AVG in hun dagelijks werk moeten toepassen”. Bedrijven kunnen dit volgens Maliepaard oplossen door relevante AVG-instructies op te stellen. “Cruciaal is dat je in kaart brengt wat de data-intensiteit per functie is. Je ziet dan al snel dat de AVG voor sommige functies heel relevant en voor andere functies totaal irrelevant is.” Volgens Maliepaard is het verstandig om per functie medewerkers te informeren over wat de AVG voor hen inhoudt.
Belangrijk voor een goede toepassing van de AVG is volgens Maliepaard dat organisaties kijken naar de cultuur van hun organisatie. “Is er een cultuur van zorgvuldigheid als het gaat om het verstrekken van privacy-gevoelige gegevens?” Een ouderenzorgorganisatie checkte dit bijvoorbeeld door alle medewerkers een phishing mail te sturen. Men ontdekte dat het merendeel van de medewerkers hier zorgvuldig mee omging. Volgens Maliepaard laat dit zien dat je als organisatie goede mogelijkheden hebt om na te gaan of er binnen de organisatie een cultuur van zorgvuldigheid heerst.
Bron: pwnet.nl
Het arbeidsrecht is voortdurend in ontwikkeling. Wetgeving verandert continu, rechtspraak en literatuur geven steeds weer een andere kijk op de zaken.