Is a.s.r. klaar voor de nieuwe privacywet?

En jij?

Dianne van den Hoven

'Ik denk dat we onbewust veel dingen goed doen'

25 mei is het zover. Dan treedt de Algemene verordening gegevens­bescherming (AVG) in werking en geldt in de hele Europese Unie dezelfde privacywetgeving. Consumenten krijgen meer rechten op dit gebied. Organisaties die persoonsgegevens verzamelen, moeten daarom aan meer verplichtingen voldoen. Hoe heeft a.s.r. zich hierop voor­bereid en zijn we klaar voor deze nieuwe privacywet? Dianne van den Hoven, projectmanager AVG vertelt.


Door Astrid Melger en Sandra Meijer

Waarom is de AVG er?

‘Door de toegenomen digitalisering worden steeds meer gegevens van ons verzameld en bewaard. Om de EU-burgers beter te beschermen is de EU-wetgeving hierop aangepast.’


Wat zijn de belangrijkste veranderingen?

‘Het belangrijkste is dat je aantoonbaar aan de wet voldoet, wat betekent dat we veel meer zaken moeten vastleggen. Waarom je persoonsgegevens van iemand verwerkt. Wat je ermee doet en wat de rechtsgrondslag is van bijvoorbeeld de uitvoering van de verzekeringsovereenkomst. Als je persoonsgegevens vastlegt, dan moet er een verwerkingsregister zijn waarin staat waarom die gegevens zijn opgevraagd en waarvoor ze worden gebruikt. Je moet verantwoording af kunnen leggen. En dat geldt ook voor informatieveiligheid. Je moet ervoor zorgen dat gegevens veilig zijn en dat derden er niet bij kunnen.’


Jullie hebben de doorvertaling gemaakt naar a.s.r. Wat is dan de belangrijkste verandering?

‘Het inrichten van het verwerkingsregister was echt een flinke klus. Hierin zijn alle processen die persoonsgegevens verwerken binnen a.s.r. geïnventariseerd en de kenmerken beschreven. Alle bedrijfsonderdelen hebben nu zo’n register en dat moet jaarlijks geüpdatet worden.’


Dus er was ook bij de bedrijfsonderdelen zelf veel werk te doen?

'Ja, we hebben het over een centraal project met zo’n 25 deelprojecten. Het centraal projectteam heeft eerst vastgesteld welke aanpassingen binnen a.s.r. gedaan moest worden ten opzichte van de huidige wet. Dit heeft zich vertaald in verschillende beleidsdocumenten. Ieder bedrijfsonderdeel is zelf verantwoordelijk voor de implementatie hiervan binnen het bedrijfsonderdeel. De start was het invullen van een verwerkingsregister. Op basis daarvan zijn we gaan kijken waar we al aan de wet voldeden en waar niet. Vervolgens zijn door alle decentrale projecten actielijsten en planningen gemaakt. Zo wist iedereen wat er nog moest worden gedaan.’


Welke rechten hebben onze klanten?

‘De klant heeft meer privacyrechten gekregen. Sommige rechten zijn aangescherpt, anderen zijn nieuw. De klant heeft recht op meer informatie, en het recht op inzage, op correctie en het recht op bezwaar zijn uitgebreid. Het recht op gegevens wissen en het recht op dataportabiliteit zijn nieuw. We moeten de gevraagde data binnen vier weken hebben opgeleverd.’


Zijn we helemaal klaar?

‘Ja en nee. Het gaat erom dat we vooral zorgen dat de privacy van de klant goed gewaarborgd is. Daar is de afgelopen tijd hard aan gewerkt, zowel centraal als decentraal. Aan de andere kant hebben we soms bewust keuzes gemaakt omdat nog niet alle vereisten helemaal duidelijk zijn, aangezien de normen in de wet nog verder ingevuld moeten worden. Op termijn kan het zijn dat sommige zaken daarom moeten worden aangescherpt.’


Heb je daar een voorbeeld van?

‘Bijvoorbeeld persoonsgegevens die mede­werkers in hun mailbox hebben staan, op de G-schijf of in hun persoonlijke archief. Als je dergelijke problematiek in een keer aanpakt ga je als project ten onder. Daarom hebben wij ervoor gekozen om dit via continue bewustzijnssessies duidelijk te maken. Zodat iedereen binnen a.s.r. weet hoe lang je persoonsgegevens mag bewaren, dat je geen onnodige gegevens moet opvragen en bijvoorbeeld niet zomaar een klantbestand moet opsturen.’

Wat zijn de grootste valkuilen voor de medewerkers?

‘Medewerkers moeten bewust zijn dat je niet alle persoonsgegevens oneindig mag bewaren of mag delen met anderen. In sommige gevallen kan dat leiden tot aanpassingen in je werkwijze.’


Als je kijkt naar hoe we nu werken, verwacht je dan dat er een hele andere houding nodig is? Of vind je dat het wel redelijk tussen de oren zit bij collega’s?

‘Ik denk dat we onbewust veel dingen goed doen. Privacywetgeving is natuurlijk niet nieuw, want hiervoor gold de Wet Bescherming Persoonsgegevens. Je moet nu nog beter nadenken wat je met persoonsgegevens doet. Deel niet zomaar alles en zorg dat je paspoortkopieën die worden opgestuurd niet klakkeloos opslaat in een dossier. Dat mag niet. Het Burgerservicenummer en de foto moet je weghalen. En als een klant informatie naar ons stuurt terwijl wij die niet nodig hebben, dan mag je dat ook terugsturen en ik weet zeker dat dat nu niet altijd gebeurt. Denk na over persoons­gegevens en wat je opslaat van een klant.’


Dus we moeten ook de klant op de nieuwe wetgeving attenderen?

‘Ja, klanten moeten ook niet zomaar alles klakkeloos opsturen. Dat gebeurt heel geregeld. We wijzen klanten op hun rechten en plichten via de privacy­verklaring en een informatiefilm over de AVG op de a.s.r.-website.’


Verwacht je dat klanten nu veel op gaan vragen?

‘Nee, ik denk dat we rond 25 mei even een piekje krijgen waarin mensen willen weten wat wij over hen bewaren. Maar het recht op inzage bestaat al en als je kijkt hoeveel van dergelijke verzoeken Cliëntenbeheer hierover de afgelopen jaren heeft gehad, dat is echt te verwaarlozen. Als mensen zo’n verzoek doen, is het vaak omdat ze ergens over geïrriteerd zijn en overwegen een klacht in te dienen. Dan is het goed om een klachtencoördinator te laten checken wat er speelt. Een hausse aan verzoeken verwacht ik zeker niet.’


Jij rondt het project dadelijk af en hoe gaat het dan verder?

‘Het is dan aan de bedrijfsonderdelen zelf. Er is geen overkoepelende sturing, behalve natuurlijk vanuit Compliance. We hebben een functionaris gegevensbescherming vanuit a.s.r., dat is volgens de wet verplicht. De compliance officers van de bedrijfs­onderdelen houden in de gaten hoe het met het verwerkingsregister staat. Is dat nog up-to-date? Daarnaast is bij ieder bedrijfsonderdeel een MT-lid verantwoordelijk voor privacy. Zo is de privacy goed geborgd.’ •

Tips voor het goed naleven van de nieuwe privacywet

  • Ga zorgvuldig om met persoonsgegevens van klanten
  • Vraag je af of het echt nodig is om persoonsgegevens te kopiëren of af te drukken
  • Vraag en bewaar alleen persoonsgegevens die je echt nodig hebt
  • Wees extra voorzichtig met bijzondere persoonsgegevens
  • Verwijder persoonsgegevens wanneer ze niet langer nodig zijn
  • Berg documenten met persoonsgegevens veilig op
  • Bespreek risico’s, twijfels en ongewenst gedrag in je team
  • Twijfel je over een privacy issue? Vraag advies aan je collega of leidinggevende
  • Meld incidenten (datalekken) direct via de incidentenpagina op Infonet