4 minute read
MOLENAAR & PLASMAN
Molenaar & Plasman Solutions (MnP Solutions), in 2002 gestart als dienstverlener op het gebied van informatiebeveiliging en privacy, voegde een divisie toe aan het bedrijf. De Privacy Hub ontzorgt klanten bij het voldoen aan de AVG-wetgeving. Tekst: Mels Dees
Charlotte Marselis
Sinds juli dit jaar is Charlotte Marselis in dienst als Privacy Specialist en jurist bij MnP Solutions, nadat ze er al sinds begin dit jaar als stagiaire werkte. “In de loop van die maanden is de Privacy Hub ontstaan, waar ik nu met twee collega’s onderdeel van uitmaak.” Marselis legt uit dat de nieuwe bedrijfsactiviteit, die moet uitgroeien tot een volwaardige divisie, goed loopt. “We krijgen heel veel aanvragen op het gebied van privacy. De vragen die we vanuit de markt krijgen worden ook steeds meer divers en complex.”
AVG na 2018 vaak ondergesneeuwd
Uit verschillende onderzoeken blijkt dat ondernemers het nog steeds lastig vinden om te voldoen aan de regels die de AVG stelt. Dat herkent Marselis in haar dagelijks werk. “De AVG werd in 2016 ingevoerd, waarbij bedrijven tot 2018 de tijd hadden de regelgeving om te zetten in de praktijk.” Het valt haar op dat organisaties er in die twee jaar veel aandacht aan hebben besteed, maar dat het vervolgens is blijven liggen. “Ze
beschouwen het als iets dat klaar is, maar dat is niet de reële situatie. Privacy-beleid is dynamisch en beweegt mee met de activiteiten van een onderneming. Je moet het continu toetsen, aanpassen en borgen. Dat blijkt vaak een uitdaging te zijn en leidt dan tot vragen die bij ons terecht komen.”
Updaten
Wat Marselis en de overige medewerkers van de Privacy Hub bijvoorbeeld tegenkomen is het feit dat ondernemingen de privacystatements op hun website niet updaten als er activiteiten binnen de organisatie veranderen. “Als een bedrijf in 2018 alleen naam, e-mailadres en het telefoonnummer van klanten gebruikte bij verwerkingen, dan kan het best zo zijn dat ze dat inmiddels ook met IP-adressen doen, bijvoorbeeld in de vorm van cookies. Het privacy-statement passen ze dan echter vaak niet aan, terwijl die noodzaak wel bestaat.” Ook de gang naar de cloud is een veelvoorkomend fenomeen: data staan ineens op servers van derden en daarover moet je wat opnemen in je statement. Ook verwerkingsregisters en verwerkersovereenkomsten worden vaak niet geactualiseerd, weet de Privacy Specialist. “Je ziet dat bedrijven het in 2018 opstelden omdat het verplicht werd gesteld en het vervolgens hebben laten liggen.”
Ontzorgen bij AVG-wetgeving
De Privacy Hub van MnP Solutions kan ondernemers nu ontzorgen bij het blijvend voldoen aan de regels die de AVG stelt. “Bij nieuwe klanten doen mijn collega’s of ik eerst een intake, en scannen wat het bedrijf al heeft ingericht op AVG-gebied, wat ze nodig hebben en hoe de activiteiten als het gaat om het verwerken van persoonsgegevens zich zullen ontwikkelen.” Met die informatie stellen de medewerkers van de Privacy Hub dan een plan van aanpak op. Bedrijven willen kunnen aantonen dat ze voldoen en daarvoor is de juiste documentatie nodig.
“Aan de ene kant registreren we wat er gedaan moet worden en doen daar verslag van,” legt Marselis uit. “Er aan de andere kant zijn er ook ondernemingen die willen dat we de aanpassingen doorvoeren, naast klanten die het helemaal aan ons uitbesteden. In dat geval leveren we als Privacy Hub het complete AVG-management met onze Privacy Officer as a Service.”
Recht op informatie
Bedrijven denken nog wel eens dat ze niet groot genoeg zijn om te moeten voldoen aan de AVG-richtlijnen. “Dat klopt echter niet. Elke onderneming moet er wat mee doen, met op zijn minst een privacy-statement. Elke klant of partner heeft het recht geïnformeerd te worden door een bedrijf.” In de praktijk gebeurt het ook daadwerkelijk dat klanten vragen wat er met hun privacygevoelige data gebeurt, vertelt Marselis. “Bij de corona-snelteststraten tijdens de pandemie speelde het bijvoorbeeld. Veel mensen wilden weten waarom daar gevraagd werd naar het Burgerservicenummer (BSN). Dit was gerechtvaardigd, om testresultaten te kunnen koppelen aan afnemers.” Binnen bedrijven merkt Marselis dat het onderwerp niet echt leeft, ondanks de noodzaak eraan te voldoen. Wat vindt ze er zelf zo interessant aan? “Het is eigenlijk heel divers,” luidt het antwoord. “Ik heb twee studies gedaan, aan de ene kant fiscaal recht, dus dat is vrij duidelijk: dit is de wet. Maar ik deed ook privacy-recht en daarbij heb je nog te maken met een wat grijzer gebied. Dat is leuk, het is nog volop in ontwikkeling.”
Veel afdelingen betrokken bij AVG
Daarnaast vindt de Privacy Specialist het boeiend dat veel verschillende afdelingen binnen bedrijven met AVG-regelgeving te maken hebben, bijvoorbeeld HR, IT, finance en marketing. “Je spreekt veel mensen met verschillende functies. Dat is ook wel het uitdagende van de omgang met AVG.” Met name bij de HR-professionals is de kennis van AVG-regelgeving doorgaans groot, die werken immers veel met personeelsdossiers.
Hoewel niet iedereen volle aandacht heeft voor AVG, is de boodschap van Marselis helder: “Adopteer als dienstverlener privacywetgeving in je dagelijks leven. Je zou er steeds aan moeten denken met wie je welke gegevens deelt. Je klant heeft er recht op dit te weten.” ◾
Ook eens kennismaken met de Privacy Hub van MnP Solutions, of direct een vraag inschieten?
Mail naar privacy@mnpsolutions.nl