Talenta aan het woord
De samenwerking begon in 2017 met het uitvoeren van een AVG quickscan. Dat beviel Johan Knuivers, voorzitter van de Raad van Bestuur van Talenta, zo goed dat Henk van Leussen inmiddels is aangesteld als externe Functionaris voor de gegevensbescherming. “Voor ons is de AVG geen core business. Dat heeft als nadeel dat je het ‘er een beetje bij gaat doen’. Gezien de risico’s die je loopt als je niet aan de AVG voldoet, kun je deze werkzaamheden beter uitbesteden. En aan wie beter dan aan Henk.”
“Iedere organisatie zou een nulmeting – een AVG quickscan – moeten doen”
Niemand discussieert over of door rood rijden wel of niet mag. Iedereen kent de wet en wéét simpelweg dat het niet mag, en wie besluit het toch te doen kent de risico’s. Wat ik dan zo vreemd vind, is dat er wél gediscussieerd wordt over de AVG, terwijl dit ook wetgeving is. En dat niet alleen, net als door rood rijden kan niet voldoen aan de AVG ook schade veroorzaken voor anderen. Ga je als organisatie verkeerd om met persoonsgegevens, dan kun je daarmee iemand voor het leven lang tekenen, of kwetsen. Het is je plicht om dat te voorkomen. Toch besluiten veel bedrijven om niets met deze wet te doen. Waarom? Ik weet het niet. Een nulmeting – een AVG quickscan zoals wij die door Henk van Leussen hebben laten uitvoeren – is het minste wat iedere organisatie zou moeten doen. Het geeft inzicht in wat de wet voor jouw organisatie betekent en wat voor jouw organisatie de mogelijke risico’s zijn. Wat je vervolgens met die informatie doet, is stap twee. Maar door de quickscan weet je in ieder geval waar je aan toe bent.”
AVG quickscan: dit is wat u krijgt
Tijdens de quickscan wordt gekeken naar hoe uw organisatie persoonsgegevens verwerkt, hoe betrokkenen (bijvoorbeeld klanten of werknemers) geïnformeerd worden en hoe veilig uw IT-systemen zijn. Daarnaast worden de consequenties van de privacywetgeving voor uw organisatie besproken. Kortom: met de quickscan ontdekt u waar uw kansen en bedreigingen voor de toekomst liggen.
De uitkomst van de AVG quickscan
“Dat is ontzettend waardevol”, voegt Knuivers toe. “Ik moet eerlijk zeggen dat ik best geschrokken ben van de uitkomst van de AVG quickscan. Op een goede manier, dat wel. Je wordt bewust gemaakt van dingen die je al jaren op een bepaalde manier doet, maar die eigenlijk niet goed zijn. Om een voorbeeld te geven: wij hebben de persoonsgegevens en sollicitatieprofielen van duizenden cliënten in ons systeem staan. Voorheen sloegen wij alle informatie op die wij van die mensen kregen, terwijl dat helemaal niet nodig is. Henk heeft ons er op gewezen dat we bepaalde informatie, denk aan BSN-nummers, niet nodig hebben voor ons werk en dus niet op hoeven te slaan. Een ander voorbeeld: Henk heeft ons bewust gemaakt van de manier waarop wij omgaan met ex-werknemers. Als een werknemer ons verlaat, dan moeten zijn of haar wachtwoorden gewijzigd worden. Maar dat gebeurde nooit. Wij handelden altijd ter goede trouw, maar dat vertrouwen kan natuurlijk een keer beschaamd worden.”
“De AVG quickscan creëert bewustwording”
“En wat als een laptop gestolen wordt?”, gaat Knuivers verder. “Of als iemand even de laptop van een collega leent en zo inzicht krijgt in informatie die niet voor hem of haar bestemd is? Of als iemand papieren van de printer haalt die niet voor hem of haar bedoeld zijn? Het zijn risico’s die voor vervelende problemen kunnen zorgen. Problemen die je kunt voorkomen, want tijdens de quickscan worden alle werkprocessen tegen het licht gehouden én wordt er een risico-analyse gemaakt. Daardoor weet je precies waarin je tekort schiet, en hoe je operationeel dingen moet wijzigen om die tekortkomingen op te lossen.”
Aangesteld als externe Functionaris voor de gegevensbescherming
Knuivers geeft aan dat hij ook geschrokken is van de invloed van (externe) software. “De quickscan wordt opgeleverd inclusief stappenplan, zodat je precies weet waar voor jouw organisatie de grootste risico’s liggen en wat je dus als eerste moet aanpakken. Redelijk bovenaan stond bij ons het onderwerp ‘software’. Wij gebruiken veel software die ergens in de cloud staat, maar we hadden er nooit bij stil gestaan dat sommige van die software in andere landen gehost wordt. Concreet betekent dit dat wij ook met die partijen verwerkingsovereenkomsten moeten hebben, en niet alleen met onze softwareleveranciers. En dat niet alleen, we moeten ook kijken hoe we al onze verwerkingsovereenkomsten met samenwerkende partners kunnen bewaken. Veel van die overeenkomsten zijn namelijk niet waterdicht. In tegendeel. Henk is daar nu voor ons mee bezig, want na de quickscan hebben wij hem aangesteld als externe Functionaris voor de gegevensbescherming. Hij kijkt alle overeenkomsten na en is ook gemachtigd om ze voor ons te tekenen.”
Werkzaamheden rondom de AVG uitbesteden
“Daarnaast kijkt Henk voor ons welke partijen invloed hebben op onze werkprocessen. Als voorbeeld: onze systeembeheerder kan op afstand inloggen. Daar moeten we in een verwerkingsovereenkomst natuurlijk afspraken over maken. Ook helpt hij ons met het inrichten van ons verwerkingsregister in privacy management software DPOrganizer. Het grote voordeel van Henk is dat hij, onder meer door zijn jarenlange ervaring als IT-manager, ongelofelijk veel kennis heeft van automatisering. Voor hem is dit dan ook gesneden koek, en dat zorgt ervoor dat hij voor ons de perfecte partner is. Voor ons zijn al deze dingen geen core business, met als nadeel dat je het ‘er een beetje bij gaat doen’. Gezien de risico’s die je loopt als je niet aan de AVG voldoet, kun je deze werkzaamheden beter uitbesteden. En aan wie beter dan aan Henk.”
Over Talenta
Talenta is een christelijke organisatie voor jobcoaching en reïntegratie. Kijk voor meer informatie op www.talentawerkt.nl