Veel organisaties hebben zich nog niet goed voorbereid op hun nieuwe wettelijke plicht, heeft De Hoog gemerkt. “Het vergt een verandering van de organisatie. Je moet bescherming van de privacy inbedden in de bedrijfsvoering.” Drie stappenDe Hoog adviseert bedrijven en instellingen om zich in drie stappen voor te bereiden op de plicht tot bescherming. Allereerst moeten ze inzicht verwerven in de verwerking van de gegevens. Waar wordt iets opgeslagen? Wie kan de gegevens zien? Met wie worden die gegevens gedeeld? |
Tot slot is er de implementatie. De Hoog: “In deze laatste fase maak je het personeel duidelijk wat je van hen verlangt. Ze moeten weten hoe de wet in elkaar zit en wanneer er sprake is van een datalek, bijvoorbeeld. Op vaste momenten zal er telkens weer opnieuw aandacht moeten zijn voor dit onderwerp.” Hoge boetesWie zich niet aan de regels houdt, kan worden bestraft met een boete. Die boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet. De Hoog kan nog niet inschatten hoe boetes zullen uitpakken voor zorg- en welzijnsinstel- "Privacybescherming moet worden ingebed in de bedrijfsvoering" |
Oproep tot samenwerkingDe nieuwe Europese privacyverordening stelt zorg- en welzijnsinstellingen voor een flinke opgave. De verwachting is dat binnen grote organisaties meer capaciteit en middelen beschikbaar zijn om uitvoering te geven aan de inventarisatie en implementatie van de nieuwe wetgeving. In kleine en middelgrote organisaties is dat waarschijnlijk in mindere mate het geval. Uitwisseling van kennis en menskracht kan dan enorm bijdragen. Niet iedereen hoeft namelijk een Data Protection Officer in dienst te hebben; diensten kunnen ook worden gedeeld. |