Als maatschappij worden we ons steeds bewuster van de hoeveelheid persoonlijke gegevens die wij invullen en delen met anderen. En van het feit dat wij die gegevens soms wel héél onbewust delen. Steeds meer vraagtekens worden er gezet bij de noodzaak van het delen van gegevens. Privacybescherming is dan ook een hot topic momenteel. Voor particulieren, maar zeker ook voor organisaties. Ook zij moeten kritisch kijken naar alle gegevens die zij opvragen. Zijn deze écht nodig om een goede dienst te kunnen leveren? Maar ook: hoe zit dat eigenlijk met de gegevens van jouw medewerkers, bijvoorbeeld op het sociaal intranet, wat heb je van hen nou écht nodig? En als je die dan eenmaal hebt, wie is er dan verantwoordelijk voor? Zoveel vragen. Laten we er vandaag in ieder geval een paar beantwoorden.
Gegevens is best wel een brede term. Laten we die eerst een specificeren. Als we het hebben over gegevens, dan gaat het in dit geval om persoonsgegevens. Dat zijn de gegevens die over een persoon gaan of daarnaar te herleiden zijn, zoals naam, adres, woonplaats, BSN-nummer of telefoonnummer. Daarnaast heb je ook bijzondere persoonsgegevens, denk aan medische gegevens, etnische afkomst of politiek opvatting. Deze gegevens liggen gevoeliger en zijn daarom extra beschermd door de wet.
Meest van tijd worden deze persoonsgegevens gedeeld om bepaalde stappen online te versoepelen, bijvoorbeeld op het sociaal intranet om informatie makkelijker te kunnen delen met collega’s, toegang tot een applicatie te krijgen of om passende zorg te verlenen. Deze gegevens mag je alleen verwerken op het moment dat hier toestemming voor is gegeven, er een overeenkomst is getekend of wanneer er bepaalde belangen zijn. Het verzamelen van deze gegevens moet altijd transparant, doelgebonden en data-geminimaliseerd zijn. Want uiteraard moet je niet meer gegevens opslaan dan nodig.
Vooral in de zorg- en het onderwijs is het heel belangrijk dat de persoonsgebonden informatie veilig wordt verzameld en gedeeld. Denk aan leerling-, cliënt- en patiëntgegevens. Je wil in dat geval een zo volledig mogelijk beeld hebben van de persoon om deze informatie tijdig te kunnen delen voor de beste zorg en onderwijs. Dat klinkt best logisch, toch? Daarnaast zijn persoonsgegevens van medewerkers op het sociaal intranet ook heel bruikbaar om het werk makkelijker te maken. Door bijvoorbeeld functie te koppelen aan een medewerker kan je hen toegang geven tot specifieke informatie op het intranet of inloggen op externe applicaties versoepelen met Single Sign-On. Dat maakt het werk een stuk efficiënter en fijner.
De omgang met persoonsgegevens brengt een grote verantwoordelijkheid met zich mee. De rolverdeling van verantwoordelijke en verwerker is er dan ook een om in de gaten te houden. Terwijl wij bij a&m impact alle gegevens op een sociaal intranet, website of portaal verwerken, ben je als organisatie de verantwoordelijke partij. Als organisatie bepaal je het doel en de middelen voor de verwerking. Daarnaast moet je de correcte verwerking kunnen verantwoorden en garanderen, maak je afspraken met de verwerker (en beschrijf je dit o.a. in een verwerkersovereenkomst) van de gegevens en ben je verplicht niet meer gegevens te verwerken dan noodzakelijk is. Veel zaken waar je dus aan moet denken. Als leverancier van digitale communicatieoplossingen zijn wij bij a&m impact dus de verwerker van al deze gegevens. Informatiebeveiliging is voor ons enorm belangrijk en daarom zijn we al jaren officieel ISO27001 en NEN7510 gecertificeerd. Wij kunnen je dan ook zeker helpen met het inregelen van privacybescherming voor jouw organisatie.
Tot nu toe hebben we het vooral gehad over het bewaren van gegevens die op dit moment relevant zijn, zoals de gegevens van medewerkers die bij jouw organisatie werkzaam zijn. Maar wat doe je met die gegevens als een medewerker de organisatie verlaat of als een cliënt wordt overgedragen aan een andere zorgorganisatie? Ook daar moet je goed over nadenken. Je kan voor gebruikersaccounts een automatische opruimfunctie inzetten of bewaar beperking instellen, zodat je bijvoorbeeld alleen een basisaccount met naam en e-mailadres bewaart en de rest verwijderd. Of je laat ze anonimiseren. Andere gegevens zoals mails kun je het beste tussentijds opschonen, bijvoorbeeld na een periode van 30 dagen. Wil je een e-mailadres opnieuw gebruiken voor een andere medewerker? Dat kan wel, maar zorg voor een periode van twee á drie jaar voordat je dat doet.
Nu we hebben vastgesteld dat het beschermen van persoonsgegevens belangrijk is, is het tijd om te kijken naar hoe je dat kan toepassen in het design van je communicatie oplossingen. In de AVG is namelijk opgenomen dat gegevensbescherming ook plaatsvindt door 1) ontwerp en 2) standaardinstellingen. Termen die je daarbij vaker ziet terugkomen zijn privacy by design en privacy by default. Bij eerstgenoemde gaat het erom dat je al in een vroeg stadium nadenkt over het bewaken van de privacy. Zo kan je direct in je ontwerp al elementen opnemen die je helpen de privacy van gebruikers te waarborgen. Denk aan encryptie, access control en/of pseudonimisering.
Privacy by default is een onderdeel privacy by design. Het verplicht organisaties om de privacy van hun gebruikers te beschermen door de instellingen en functies van de producten of diensten standaard (by default) op de meest privacy vriendelijke stand te zetten. Bijvoorbeeld dat profielen standaard afgeschermd zijn, je cookies zelf moet accepteren en dat er slecht minimale gegevens worden verwerkt. Gebruikers moeten zelf actief kiezen voor een minder privacyvriendelijke stand. Als verwerkers verantwoordelijke moet jij er dus voor zorgen dat privacy ook wordt gewaarborgd in je design. Maar geen stress, ook wij als leverancier weten wij wat er moet gebeuren en staan je bij!
Privacy staat bij ons hoog in het vaandel. Niet alleen willen wij de veiligste oplossingen voor onze klanten maken, maar zijn wij daar intern ook altijd alert op. Zo hebben wij onder andere een Security Officer in dienst die bij ons intern toeziet op security en privacy van onze oplossingen. Verder worden wij jaarlijks zowel intern als externe getest worden op onze NEN en ISO certificering. Daarnaast is kennis enorm belangrijk in het bewaken van de privacy en veiligheid van gegevens. Daarom zorgen wij ervoor dat onze medewerkers door middel van e-learnings op de hoogte zijn van de laatste ontwikkelingen en bewust omgaan met privacy.
Wil je meer weten over privacy, persoonsgegevens en hoe je dat het beste kan vormgeven? Wij denken graag met je mee! Neem vooral contact op. Dan kijken we samen welke stappen we kunnen zetten.
