Dit is de negende blog in de blogreeks: Ontdekkingen van een junior compliance officer. In deze reeks vertel ik over wat mij is opgevallen in het compliance landschap.
Iedereen weet dat privacy een belangrijk onderdeel van het leven is en ook van je werk. Je wilt niet dat iedereen zomaar bij jouw gegevens kan als ze daar geen toegang of wettelijke basis voor hebben. Organisaties en haar medewerkers moeten daarom voorzichtig omgaan met jouw gegevens. De Autoriteit Persoonsgegevens (AP) houdt hier in Nederland toezicht op. De Algemene Verordening Gegevensbescherming (AVG) is hiervoor de basis.
Het is dus belangrijk dat alle medewerkers in een organisatie weten wat wel en niet mag als het om privacy gaat. Binnen het NCIP hebben wij daarom één keer per twee jaar een privacy awareness sessie. Deze keer werd deze gegeven door mijn collega Peter Westdijk. Naast senior compliance officer is hij ook privacy officer. In deze blog deel ik de belangrijkste onderdelen die in de privacy awareness sessie aan bod kwamen.
Een goede en gezellige sfeer is belangrijk om een dergelijk saai en taai onderwerp effectief te kunnen bespreken. Door dat te benoemen kun je het als les of advies opnemen voor inspiratie. Samen maken we het een stuk leuker. Als integriteit professionals willen we op een integere manier met (persoons)gegevens omgaan, dus is het belangrijk hier aandacht aan te besteden.
Laten we beginnen bij het begin. Privacy is een recht, dat is vastgelegd in onder andere de uit 1948 stammende Universele Verklaring van de Rechten van de Mens. Gegevensbescherming is een wettelijke plicht die is uitgewerkt in de AVG en aanverwante wet- en regelgeving. Het gaat over mensen of organisaties die iets doen met persoonsgegevens. Peter stelt dat een belangrijke basis bij het beschermen van persoonsgegevens Privacy by design en Privacy by default zijn. Privacy by design houdt in dat je bij het ontwerpen van producten en diensten zorgt dat je persoonsgegevens goed beschermt. Privacy by default houdt in dat de standaardinstellingen van je producten of diensten privacyvriendelijk zijn.¹
Vervolgens werd er aandacht besteed aan dataminimalisatie. Welke gegevens zijn er nou echt nodig om je werkzaamheden naar behoren uit te kunnen voeren? We gingen aan de slag met een casus om hier antwoord op te krijgen. En het was toch lastiger dan je vooraf denkt om bij bepaalde, oh zo gewone persoonsgegevens uit te leggen waarom die nou per se nodig zijn. Een paar voorbeelden:
Naar aanleiding van de casus kwamen interessante discussies op gang. Privacy is nou eenmaal niet zo klip en klaar als we zouden willen. Het bewaren van gegevens bijvoorbeeld blijft ook een discussie punt. In de wet staat dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk. Maar wat is dan noodzakelijk? De AVG kent hier geen concrete bewaartermijn voor. Ook hier liepen we ertegenaan: rationeel uitleggen en definiëren is best lastig.
Daarnaast is het belangrijk om verschillende maatregelen in je organisatie te hebben waarin staat hoe je met privacy en aanverwante zaken omgaat. Hier een paar suggesties:
Deze sessie was van belang om ons allemaal (weer) scherp te krijgen en te houden. Door middel van deze blog is jouw kennis hopelijk ook weer opgefrist of heb je wellicht inspiratie opgedaan voor het samenstellen van een eigen privacy awareness sessie. Succes!
Wil je meer weten over privacy en hoe je dit het beste kan inrichten kan je altijd contact opnemen met mijn collega Peter Westdijk.
Verantwoordingsplicht | Autoriteit Persoonsgegevens
Hof van justitie: Geen gendergegevens nodig bij aankoop van een treinticket
