Ontloop AVG-boetes met deze vier aandachtspunten

Ontloop AVG-boetes met deze vier aandachtspunten

Het laten wissen van persoonsgegevens schijnt nog niet zo makkelijk te zijn als gedacht. De Autoriteit Persoonsgegevens krijgt hierover de meeste privacyklachten. Er ligt nog veel werk in het verschiet: met alleen reageren red je het als organisatie niet. Er is nog meer nodig om op adequate wijze een verwijder- of inzageverzoek correct af te handelen. We hebben vier aandachtspunten op een rij gezet waar bedrijven aan dienen te denken.

1. Zorg voor een goede governance
Het zorgen voor een goede governance is de basis. Dat is het beginpunt. Creëer een centraal verzamelpunt waar dit soort verzoeken binnenkomen. Maak ook inzichtelijk wie verantwoordelijk is voor de opvolging en waar de gevraagde gegevens zijn opgeslagen. Het invullen van de wetgeving in procedures kan je ook een eind op weg helpen. En smeed ook eenheid tussen de afdelingen, zodat ze onderling samenwerken in het wissen van de gegevens.

2. Blijf up to date met de techniek 
Het lukt natuurlijk niet altijd om gegevens te wissen. Hiervoor kunnen meerdere redenen zijn: er is bijvoorbeeld geen mogelijkheid om gegevens te zoeken of er wordt gebruikgemaakt van systemen die de gegevens niet (geautomatiseerd) kunnen verwijderen. Bekijk in dit soort gevallen of je up to date systemen kunt aanschaffen, waarmee een geautomatiseerde verwijdering wel mogelijk is.

3. Vijzel de kennis over de AVG op
Medewerkers ontvangen wel eens verwijder- of inzageverzoeken, maar beschikken eigenlijk niet over de juiste kennis. Dat wil zeggen: de AVG klinkt ze bekend in de oren, maar de nadere details kennen ze niet. Ze weten bijvoorbeeld niet dat klanten een verzoek kunnen indienen om persoonsgegevens in te zien of te verwijderen.

Hoe kun je er nu voor zorgen dat de AVG-kennis onder de medewerker wordt opgevijzeld? Geef het onderwerp lading met nieuwsbrieven, cases op intranet of laat ze cursussen volgen. Het is belangrijk dat iedereen binnen de organisatie over het juiste kennisniveau beschikt als het over de AVG gaat. Dit hoort niet alleen de verantwoordelijk te zijn bij een privacy-officer.

4. Blijf communiceren met alle partijen
Ondanks alle maatregelen is het niet altijd eenvoudig om een verwijder- of inzageverzoek op tijd af te handelen. Wellicht kost het te veel tijd, omdat de opgevraagde persoonsgegevens over heel veel systemen verspreid staan, of zijn ze eerder al (terecht) vernietigd. Juist dan is het essentieel om te blijven communiceren met alle betrokken partijen. Stuur een ontvangstbevestiging van een binnenkomend verzoek en doe dat ook als het verzoek correct is afgehandeld. Maar trek ook aan de bel als het even stroef gaat. Dat kan je een klacht bij de Autoriteit Persoonsgegevens besparen.