Logo
  • Nieuws
  • 25 juli 2018
  • Thimo Keizer

AVG: in 10 stappen uw facilitaire systemen privacy proof

Om de privacy van medewerkers te kunnen waarborgen moeten organisaties aantoonbaar voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dit heeft belangrijke gevolgen voor facilitaire systemen die persoonsgegevens bevatten, zoals toegangscontrole, cameratoezicht en FMIS. Weet u wat wel en niet mag en welke maatregelen u nog moet nemen vóór de invoering van de AVG?

Beeld AVG: in 10 stappen uw facilitaire systemen privacy proof

Voldoet de organisatie niet aantoonbaar aan de AVG (ook bekend onder de naam General Data Protection Regulation, GDPR), dan kan de Autoriteit Persoonsgegevens boetes tot € 20.000.000 of 4% van de wereldwijde omzet opleggen. Naast boetes loopt de organisatie het risico op verlies van vertrouwen van medewerkers en klanten, omdat zij blijkbaar niet in staat is om hun persoonsgegevens goed te beschermen.

Genoeg redenen om als organisatie je verantwoordelijkheid te nemen als het om bescherming van persoonsgegevens gaat. Hierbij is het handig om inzicht te hebben in de 10 stappen die gezet moeten worden om aan de AVG te voldoen.

Stap 1: Bewustwording

Maak een inschatting van de gevolgen van de AVG voor de processen en systemen van de organisatie als geheel en voor facility management in het bijzonder. Creëer bewustzijn dat ook de facilitaire systemen persoonsgegevens bevatten en dat die systemen aan de AVG moeten voldoen. Breng de benodigde menskracht en middelen om blijvend aan de AVG te voldoen in kaart.

Bij het bewust maken van de organisatie is het ook van belang duidelijk te maken dat 25 mei 2018 geen einddatum, maar eerder een begindatum is. Vanaf die datum moet de organisatie aantoonbaar voldoen aan de AVG. Binnen de organisatie en binnen facility management moet duidelijk zijn waar de AVG om gaat: de bescherming van persoonsgegevens zoals naam, adres, Burgerservicenummer en bijzondere persoonsgegevens zoals godsdienst, ras, seksuele geaardheid, etc.

Stap 2: Rechten van betrokkenen

Bestond onder de Wet Bescherming Persoonsgegevens al het recht op inzage, het recht op correctie en het recht op verwijdering van gegevens, onder de AVG krijgen mensen ook het recht op vergetelheid en het recht op dataportabiliteit. De aanwezige systemen en procedures moeten daarom opnieuw tegen het licht worden gehouden en waar nodig worden aangepast.

• Recht op vergetelheid: het recht om vergeten te worden, wat breder is dan het recht op verwijdering omdat dat gaat om het verwijderen van onjuiste, onvolledige gegevens of gegevens die niet ter zake doen
• Recht op dataportabiliteit: het recht om de persoonsgegevens in een standaardformaat te ontvangen

Stap 3: Overzicht verwerkingen

Voor alle informatie geldt dat vastgesteld moet worden of deze persoonsgegevens bevatten. De AVG introduceert een registratieplicht voor de verwerking van persoonsgegevens: vastgelegd moet worden met welk doel de gegevens verwerkt worden, waar ze vandaan komen, met wie ze gedeeld worden en hoe lang ze bewaard worden. Breng vanuit FM in kaart voor welke gegevensverwerkingen je verantwoordelijk bent.

Stap 4: Privacy Impact Assessment

Organisaties worden verplicht een Privacy Impact Assessment (PIA) uit te voeren als de beoogde gegevensverwerking waarschijnlijk een hoog privacy risico met zich meebrengt, als de organisatie op grote schaal individuen volgt of als de organisatie bijzondere persoonsgegevens van individuen verwerkt. Een PIA wordt ook wel Data Protection Impact Assessment of afgekort DPIA genoemd.

FM moet vaststellen voor welke facilitaire systemen een PIA verplicht is. Twijfel je? Dan geldt de stelregel om de PIA uit te voeren. De organisatie heeft naast de registratieplicht namelijk ook een documentatieplicht. Met documenten moet kunnen worden aangetoond dat de juiste maatregelen zijn genomen om risico’s te beperken. Lukt het de organisatie niet om met maatregelen de risico’s beperken, dan moet met de Autoriteit Persoonsgegevens worden overlegd voordat met de verwerking wordt gestart. De zogenaamde voorafgaande raadpleging.

Een PIA bevat minimaal:
• Een systematische beschrijving van de verwerkingen en hun doelen
• Een beoordeling van de proportionaliteit van de verwerkingen (staat het verzamelen in verhouding tot het doel waarvoor de gegevens verzameld worden)
• Een inventarisatie van de risico’s voor betrokkenen
• Een opsomming van de genomen maatregelen om de geconstateerde risico’s te beperken

Stap 5: Privacy by design & privacy by default

De AVG stelt dat systemen standaard op de meest privacy-vriendelijke manier moeten worden ingericht, zodat gebruikers zo min mogelijk moeite hoeven te doen om gegevens te beschermen (privacy by design) en dat systemen zo zijn ontworpen en ingericht dat er zo min mogelijk persoonsgegevens worden verwerkt (privacy by default).

Deze uitgangspunten stellen eisen aan fabrikanten, leveranciers en installateurs van facilitaire systemen. Zij moeten ervoor zorgen dat systemen ontwikkeld worden met privacy als standaard. Het stelt ook eisen aan de organisatie zelf, omdat die de systemen zodanig moet in richten dat niet meer gegevens verzameld worden dan noodzakelijk.

Benieuwd naar de overige 5 stappen en hoe u in de praktijk kunt voldoen aan de eisen van de AVG? Volg dan de training 'De impact van de AVG op Facility Management’ van F-Academy.

Producttips