Home > Werk

Anders omspringen met persoonsgegevens

Annuska van den Eijnden is Functionaris Gegevensbescherming bij Hago Zorg. Ze zorgt ervoor dat de organisatie zo optimaal mogelijk voorbereid is op de invoering van de Algemene Verordening Gegevensbescherming. Loopt alles volgens planning?

Sinds 2013 heeft Annuska de rol om toezicht te houden én om advies te geven. “De nieuwe wet die vanaf mei volgend jaar van kracht wordt in de Europese Unie, zorgt ervoor dat we anders moeten omgaan met persoonsgegevens. We moeten voornamelijk inzichtelijk maken hoe onze organisatie omgaat met het verwerken van persoonsgegevens.”

Ik houd me bezig met het ontwikkelen van beleid en instrumenten, het inrichten van processen en het geven van voorlichting.

Transparantie

Vandaag de dag zijn gegevens extra kostbaar. Ze zijn geld waard. Hackers proberen dagelijks persoonsgegevens in handen te krijgen. Sla de krant en social media er maar op na.

“Voorkomen van problemen lukt alleen als je duidelijk communiceert over het hoe en waarom. Het betrekken van alle collega's bij de veranderingen is van groot belang.” Volgens Annuska is het belangrijk om transparant te zijn. “Welke gegevens krijg je? Waarom krijg je die? Wat doe je ermee? Hoe is de veiligheid gewaarborgd?”

Veranderingen

“We liggen op schema. Nieuwe procedures en regelingen zijn al opgesteld. Gegevens worden extra beveiligd, waardoor je vaak in twee stappen moet inloggen, en ze zijn soms niet meer direct in te zien. Bovendien mag je niet zonder meer alles vastleggen.”

Aangaan bewerkersovereenkomsten

Op het moment dat een contractspartij persoonsgegevens verwerkt zijn we vanuit de Wbp verplicht een bewerkersovereenkomst aan te gaan met desbetreffende partij. Een voorbeeld hiervan is de leverancier waaraan we de salarisadministratie hebben uitbesteed. In 2016 zijn alle ’Privacy Officers gestart met de inventarisatie van die desbetreffende leveranciers en hebben zij deze actie in gang gezet in samenwerking met de afdelingen.

Verzuimsignaal

Annuska: “Sinds 2016 werken diverse bedrijven binnen de Vebego-groep met Verzuimsignaal (Online Verzuimregistratie-systeem). Bij de inrichting van dit systeem, begin 2016, zijn onder andere bedrijfsjurist Danielle Adams en ik nauw betrokken geweest om te monitoren of we niets deden in strijd met de Wbp. Parallel aan de inrichting ben ik samen met een aantal collega’s druk bezig geweest met het opstellen van beleid omtrent het vastleggen van verzuim en het systeem is, daar waar mogelijk, er ook op ingericht. Daarnaast hebben alle Privacy Officers een training gekregen bij de uitrol van het systeem.”

Wat mag nu concreet niet meer?

  • Geen informatie over de aard en oorzaak opnemen in het verzuimdossier. Vraag er ook niet naar. Als iemand vrijwillig verteld wat hij of zij heeft, dan mag je dat niet vastleggen in het dossier, tenzij er sprake is van een noodzaak. Dit sluit ook aan bij onze HR en verzuimbenadering, waar we kijken naar wat iemand wel kan en van daaruit werken in plaats van te kijken vanuit wat iemand niet kan.

  • Geen medische gegevens of gegevens die iets zeggen over diagnoses, klachten, pijnaanduidingen en/of welke medicijnen iemand gebruikt vastleggen.

  • Geen informatie vastleggen over welke behandelingen iemand onder gaat en via welke specialist dit is.

Om toch een werkbare situatie te handhaven is binnen het beleid een overzicht opgenomen waarin staat opgenomen wat wel nog mag qua registratie. Concreet zijn alle ziektebeelden omgezet in een vertaaltabel. Dus alles wat iemand kan hebben is herverdeeld in een aantal categorieën. 

Naast de wijze van registratie, is er ook kritisch gekeken naar de diverse rollen binnen het systeem. In de governance is vastgelegd wie, waartoe toegang toe heeft. Ook hebben er diverse kennissessies plaatsgevonden waarin informatie verstrekt is inzake het delen van het verzuimdossier met derden, zoals een bedrijfsarts, integratiebureau, e.d.

Op de werkvloer

Praktisch gezien merken de medewerkers er ook wat van. Zo kan je niet meer zomaar een printopdracht geven met het risico dat jouw printje de hele dag op de printer ligt. Je moet tegenwoordig met een persoonlijke code (locked printen) je printopdracht bij de printer bevestigen. Ook als je met derden werkt en bijvoorbeeld voor een mailing persoonsgegevens aan moet bieden, kan je dit niet meer zomaar doen. Alles wordt tegenwoordig beveiligd met wachtwoorden en/of platforms als SharePoint worden ingezet ter vervanging van de mailbox. Deze kleine acties zijn minstens zo relevant, tenslotte is op 1 januari 2016 ook de wet meldplicht datalekken ingegaan. 

Voortaan is het geborgd

Afdelingen zullen alleen nog beschikken over gegevens die ze ook echt nodig hebben. E-mails belanden uitsluitend nog bij de personen die ze daadwerkelijk moeten krijgen. En om toegang tot bepaalde persoonsgegevens te krijgen, zijn er extra handelingen nodig.

“Zeker dat laatste is voor sommige medewerkers even wennen. Maar dat we zorgvuldig omspringen met persoonsgegevens is, hoe je het ook wendt of keert, positief. Het gaat immers ook om je eigen gegevens…”