Veel organisaties hebben zich nog niet goed voorbereid op hun nieuwe wettelijke plicht, heeft De Hoog gemerkt. “Het vergt een verandering van de organisatie. Je moet bescherming van de privacy inbedden in de bedrijfsvoering.” 

Volgens de nieuwe regels moeten overheden en zorgorganisaties sinds 2017 al een functionaris voor gegevensbescherming (FG) aangewezen hebben. “Die persoon houdt intern toezicht en moet onafhankelijk kunnen adviseren. We zien dat veel organisaties zo’n functionaris nog niet hebben. Ze zijn ook moeilijk te vinden; de arbeidsmarkt is krap.” 

Drie stappen 

De Hoog adviseert bedrijven en instellingen om zich in drie stappen voor te bereiden op de plicht tot bescherming. Allereerst moeten ze inzicht verwerven in de verwerking van de gegevens. Waar wordt iets opgeslagen? Wie kan de gegevens zien? Met wie worden die gegevens gedeeld? 

Dan volgt de fase van de administratie van die verwerking. De Hoog: “Je legt vast hoe de verwerking verloopt. Daarnaast moet je vastleggen wat je bijvoorbeeld doet in geval van een datalek. Welke procedure volg je? Je vraagt en bevestigt privacyverklaringen en maakt schriftelijke afspraken met derden over privacy, bijvoorbeeld met het bedrijf waaraan je de salarisadministratie uitbesteedt.” 

Tot slot is er de implementatie. De Hoog: “In deze laatste fase maak je het personeel duidelijk wat je van hen verlangt. Ze moeten weten hoe de wet in elkaar zit en wanneer er sprake is van een datalek, bijvoorbeeld. Op vaste momenten zal er telkens weer opnieuw aandacht moeten zijn voor dit onderwerp.”  

Hoge boetes 

Wie zich niet aan de regels houdt, kan worden bestraft met een boete. Die boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet. De Hoog kan nog niet inschatten hoe boetes zullen uitpakken voor zorg- en welzijnsinstel-
lingen. “Als je kunt laten zien dat je het onderwerp serieus neemt, kan ik mij eigenlijk niet voorstellen dat je zo’n hoge boete krijgt. Ik verwacht dat dergelijke boetes worden opgelegd aan bedrijven die bewust en/of extreem nalatig zijn.” Ook het toezicht op de naleving wordt verscherpt. Zo trekken de Europese toezichthouders - voor Nederland is dat de Autoriteit Persoonsgegevens - samen op. De Hoog: “Zo wordt het gemakkelijker om over de grenzen heen toezicht te houden."

"Privacybescherming moet worden ingebed in de bedrijfsvoering"

Oproep tot samenwerking

De nieuwe Europese privacyverordening stelt zorg- en welzijnsinstellingen voor een flinke opgave. De verwachting is dat binnen grote organisaties meer capaciteit en middelen beschikbaar zijn om uitvoering te geven aan de inventarisatie en implementatie van de nieuwe wetgeving. In kleine en middelgrote organisaties is dat waarschijnlijk in mindere mate het geval. Uitwisseling van kennis en menskracht kan dan enorm bijdragen. Niet iedereen hoeft namelijk een Data Protection Officer in dienst te hebben; diensten kunnen ook worden gedeeld.  
 
Heeft uw organisatie behoefte om kennis en/of menskracht te delen? Laat dit dan weten. WGV Zorg en Welzijn kan een coördinerende en verbindende rol spelen tussen de diverse zorg- en welzijnsinstellingen. Neem contact op met Hans Hokke, strategisch relatiemanager, via h.hokke@wgvzorgenwelzijn.nl.  
 
2 / 2