Tekst Leo de Rooij
Foto Rob Gieling

Medewerkers hebben ook meer rechten gekregen

Moeilijk, kost veel werk en tijd, lastig, wil ik niet. Veelgehoorde reacties als de Algemene Verordening Gegevensbescherming (AVG) ter sprake komt. Niet helemaal terecht, want die AVG is er ook om jouw eigen privacy te beschermen. Om organisaties te dwingen zorgvuldig met jouw persoonsgegevens om te gaan. Want zeg nou zelf: jij wilt toch ook niet dat je hele hebben en houden op straat komt te liggen?

x

Zoals Samantha de Jong, beter bekend als realityster Barbie, overkwam toen tientallen ziekenhuismedewerkers een kijkje namen in haar medisch dossier. Het HAGA-ziekenhuis had de primeur van de eerste AVG-boete: 460.000 euro voor onvoldoende beveiliging. En wist je dat door het achteloos accepteren van cookies op Marktplaats jouw gegevens worden gedeeld met maar liefst 450 bedrijven? Vast niet!

Ga vertrouwelijk om met persoonsgegevens. Even een kijkje nemen in persoonlijke dossiers is ‘not done’, niet in de zorg, niet bij de politie, maar ook niet binnen de luchtmacht.

Niet bang zijn

“We willen onze mensen ervan bewust maken welke impact de AVG heeft, zowel voor de organisatie als voor de medewerkers”, zegt kapitein Conrad Veerman, AVG-coördinator bij het CLSK. “Vorig jaar hadden we 20 datalekken, waarbij persoonsgegevens zichtbaar werden voor mensen die er niet van hoefden te weten. Denk bijvoorbeeld aan adreslijsten die naar de verkeerde persoon werden gemaild. Of openstaande SharePoint-pagina's. Het is belangrijk dat die datalekken worden gesignaleerd en aangemeld. In een open cultuur kunnen we samen de organisatie beter en veiliger maken; dan hoef je echt niet bang te zijn dat je daarop wordt afgerekend.”

Een datalek is zo gebeurd. Even niet goed opletten bij het mailen en je stuurt persoonsgegevens naar de verkeerde ontvanger. Signaleren en melden, is dan de boodschap!

De AVG is helemaal niet zo zwart-wit: zowel organisatie als individu kunnen er profijt van hebben. Enkele voorbeelden:

Cameratoezicht, mag dat? 

In hoeverre mag een bedrijf zijn medewerkers tracken? DHL kan precies volgen of de bezorger niet teveel treuzelt, onze PNOD-auto's registreren allerlei persoonsgegevens over ons. Bedrijfsbelang versus medewerker blijft een belangrijke afweging en moet degelijk onderbouwd zijn. Proportionaliteit is daarin leidend, want medewerkers hebben immers ook tijdens hun werk recht op privacy. Een camera op de werkplek om te zien of er wel hard genoeg doorgewerkt wordt, gaat een stap te ver. Maar camerabewaking activeren om te zien wie op defensielocaties nou toch die wielmoeren losdraait... Daar zal niemand vraagtekens bij zetten. Veiligheid, dus een hoger belang gerechtvaardigd.

Personeelsmutaties in De Vliegende Hollander

Het was jarenlang een van de best gelezen artikelen in De Vliegende Hollander: is Jantje al bevorderd, waarheen wordt Pietje overgeplaatst, is Klaas al met FLO? In de tijd dat ISIS regelmatig beelden toonde van executies werd na een ‘melding voorval medewerker’ besloten overplaatsingen niet meer te publiceren. Dat leidde er uiteindelijk toe dat personeelsmutaties helemaal niet meer worden meegenomen in het magazine. Jammer, want veel collega's zijn nieuwsgierig naar de loopbaan van hun collega's. Maar voor sommige van die collega's geeft het wellicht toch een rustiger gevoel dat niet de hele wereld weet dat je op missie in Jordanië bent. Moet je natuurlijk ook wel je Facebook en Strava aanpassen... 

Privacy is een groot goed. Wie dat niet wil, hoeft niet herkenbaar op de foto. Foto: uit archief MCD.

Foto's maken? Smoelenboek?

“Ik wil niet op de foto”, is tegenwoordig in het Defensie-medialandschap een veelgehoorde kreet. Betrof het vroeger uitsluitend vliegers en special forces, waarvan iedereen snapte dat ze liever niet geportretteerd werden, vandaag de dag begint ook de bureautijger te sputteren als er een camera verschijnt. En dat recht hebben ze. Portretten zijn persoonsgegevens, zonder toestemming mag je die foto niet publiceren. Of er moet een zwaarwegend belang zijn voor de bedrijfsvoering, zodat we kunnen zien wie wie is op een afdeling. Een 'smoelenboek of -poster' is handig, maar hoeft echt niet op internet gepubliceerd te worden. Want ook de verzekeringsmaatschappij wil tegenwoordig maar al te graag weten wie de rokers onder ons zijn, of de mensen met een gevaarlijke hobby. 

Werk aan de winkel!

“De AVG is echt geen belemmering, maar bedoeld als bevordering van verkeer van persoonsgegevens binnen bepaalde vastgestelde kaders”, besluit Veerman. “Door de AVG hebben medewerkers duidelijk ook meer rechten gekregen. Ze kunnen eisen dat hun persoonsgegevens goed beveiligd zijn, dat die niet worden gedeeld, dat ze worden verwijderd als betrokkene het bedrijf verlaat. Maar er is nog veel werk aan de winkel! Eind januari hadden we in de hele EU Data Protection Day en er volgen meer thematische dagen om de AVG beter tussen de oren te krijgen. In juni Data Deletion Day (opschonen van elektronische en papieren dossiers), augustus staat in het teken van datalekken en oktober is in de EU de maand van de bewustwording over cybersecurity en privacy. De AVG, doe er je voordeel mee!”

Voor meer informatie over de AVG zie: https://autoriteitpersoonsgegevens.nl/
 

Op Data Deletion Day wordt aandacht gevraagd voor goed archiveren, waarbij tijdig opruimen erg belangrijk is.