Met rasse schreden komt 25 mei 2018 naderbij. Nog even en dan moeten de corporaties volledig compliant zijn met de AVG. Zoals altijd blijkt de praktijk weerbarstiger, corporaties zien de AVG – en de regels die de verordening met zich meebrengt – vooral als een extra last. Maar is dat wel correct?
Uiteraard komt er een hoop bij een AVG-compliancetraject kijken, onder meer moet er geüpdatet beleid worden uitgevoerd, moeten er soms nieuwe procedures worden geschreven en huidige worden aangepast. En dat alles conform die nieuwe regels. Maar zijn die regels wel echt (ver)nieuw(end)?
De AVG wijzigt aan de regels omtrent de bescherming van persoonsgegevens inhoudelijk weinig. Met de Wbp en daaraan ten grondslag liggende privacy richtlijn is een groot gedeelte van de regels al vastgesteld. Deze regelgeving is echter grootschalig genegeerd, waardoor de compliance met de AVG in feite een grote inhaalslag is. Die inhaalslag is lastig, men ervaart het als een bijzondere afwijking van de eigenlijke kerntaak en het vergt in veel gevallen veel inzet en middelen van de corporatie. Het idee is echter dat na die initiële stappen het (nagenoeg) compliant zijn en blijven enkel onderhoud vergt.
Het moment waarop de uitvoering van de AVG enkel nog onderhoud vergt, betekent dat de verplichtingen daaruit zoals de uitvoering van rechten van betrokkene of van meet af aan rekening houden met privacy (privacy by design,) net zo gewoon zijn geworden als de jaarlijkse accountantscontrole of het bij een project rekening houden met de budgettaire beperkingen.
Maar hoe kom je daar? De AVG biedt daar weinig handvatten voor, maar essentieel is om je uitgangspositie vast te stellen. Audittrail doet dat via een nulmeting. Met die meting kun je exact zien waar de gaten vallen en hoe je die leemtes moet aanpakken. Met de uitkomsten kun je dus gericht werken aan compliance met de AVG. Dat laat onverlet dat je te allen tijde maatregelen kunt nemen om algemene persoonsgegevensbescherming te verbeteren. Dit zie je terug bij meerdere organisaties, die al voor er een daadwerkelijk compliancetraject wordt uitgezet het verzamelen en vastleggen van BSN en kopieën van legitimatiebewijzen hebben beperkt of in zijn geheel niet meer vastleggen.
De beperking aan de voorkant en een goede procedure voor de bewaring en vernietiging van gegevens, maakt al een hoop goed. Je vermindert – eventueel door natuurlijk verloop – al een hoop van de verzamelde gegevens. Ben je daardoor meteen compliant? Nee natuurlijk niet, maar je gaat wel met (hopelijk!) kleine veranderingen de goede richting op. Daarnaast wordt juist met (kleine) aanpassingen het bewustzijn van de medewerkers verhoogd en wordt AVG-compliant werken onderdeel van de bestendige bedrijfscultuur. Je pakt dus niet alleen gegevensverzameling en de bewaring daarvan aan, maar tegelijkertijd maak je medewerkers bewust van persoonsgegevensbescherming. Je zet daarmee ongemerkt dus veel grotere stappen richting compliance dan je aanvankelijk zou denken. Na 25 mei 2018 kan er nog veel, alleen moet je er wel beter nadenken over het waarom en hoe.
Bron: Aareon | Foto: Aareon
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine September 2024 - Digitale Transformatie Inhoud Madeleine Hamburg (Pré Wonen): De digitale transformatie is bij uitstek…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.