Wij verzorgen inmiddels al een half jaar privacy workshops bij bedrijven, instellingen en andere organisaties in huis. In die workshops brengen we samen met de organisatie in kaart of en in welke mate de organisatie voldoet aan de huidige Wet bescherming persoonsgegevens en aanverwante regelgeving plus de aankomende Algemene verordening gegevensbescherming.
De privacy workshop blijkt een effectief instrument om vlot en laagdrempelig een goed beeld te krijgen bij de stand van zaken binnen de organisatie. Op basis van een actielijst kunnen snel praktische stappen worden gezet.
Wat zijn onze tien belangrijkste bevindingen tot nu toe?
- De meeste organisaties zijn zich bewust van het belang van de zorgvuldige omgang met persoonsgegevens, maar besteden hieraan geen frequente en gestructureerde aandacht.
- Er is steeds vaker iemand binnen de organisatie aangewezen die specifiek verantwoordelijk is voor de zorgvuldige omgang met persoonsgegevens, maar deze persoon heeft veelal onvoldoende mandaat en middelen.
- Interne procedures ontbreken en zijn gedateerd of zelfs onderling tegenstrijdig. Externe communicatie beperkt zich tot wat standaardteksten op de website.
- Er wordt te snel gedacht dat toestemming de beste of zelfs enige wettelijke grondslag is voor de rechtmatige verwerking van persoonsgegevens.
- Haast iedere organisatie besteedt de verwerking van persoonsgegevens in meer of mindere mate uit. Daarbij neemt men ten onrechte aan dat daarmee ook de verantwoordelijkheid voor de zorgvuldige verwerking van persoonsgegevens eindigt.
- Organisaties zijn zich zeer beperkt bewust van de rechten van betrokkenen, zoals het recht op inzage, correctie, verwijdering en verzet. In de praktijk blijken deze rechten slechts beperkt te worden uitgeoefend door betrokkenen.
- Organisaties worstelen (nog steeds) met de vraag wat passende technische en organisatorische beveiligingsmaatregelen zijn.
- Er wordt vaak vergeten dat ook integriteitsinbreuken en het niet langer beschikbaar zijn van persoonsgegevens een datalek kunnen zijn dat gemeld moet worden bij de Autoriteit Persoonsgegevens en eventueel betrokkenen.
- Persoonsgegevens worden nogal eens veel te lang bewaard of helemaal niet verwijderd. Dit komt niet enkel doordat hiervoor onvoldoende aandacht is, maar ook omdat de technische mogelijkheden vaak beperkt zijn.
- Veel organisaties zijn zich onvoldoende bewust van het principe van dataminimalisatie en hebben niet altijd vooraf vastgesteld voor welke doeleinden zij bepaalde persoonsgegevens verwerken.