Zorgen dat persoonsgegevens correct zijn en blijven
In de discussie over privacy hebben we het vaak (eigenlijk alleen maar) over het afschermen en geheimhouden van persoonsgegevens. Er is de laatste tijd veel aandacht voor de uitbreiding op de wet bescherming persoonsgegevens (Wbp), die 1 januari volgende jaar in Nederland in werking treedt en de in de maak zijnde Algemene Verordening Gegevensbescherming die voor de hele EU gaat gelden. Beide wetgevingen leggen een meldplicht alsmede hoge boetes bij overtreding. De aandacht gaat momenteel vooral uit naar gevolgen die kunnen optreden als er persoonsgegevens gelekt gaan worden, zoals hoge boetes. Maar privacy is meer dan alleen het afschermen en geheimhouden van persoonsgegevens. Het gaat er ook om te zorgen dat persoonsgegevens correct zijn en blijven.
Corrigeerbaarheid
In deze privacywetgeving(en) is het principe van "Corrigeerbaarheid" minstens zo belangrijk als "Afscherming" en "Transparantie" (http://www.cip-overheid.nl/grip-op-privacy/). Deze principes zijn gebaseerd op de privacy principes zoals opgesteld door de Organisation for Economic Cooperation and Development (OECD).
Incorrecte en/of verkeerd verwerkte persoonsgegevens kunnen grote gevolgen hebben voor de betrokkene. Lees maar eens de horrorverhalen van mensen van wie hun identiteit gestolen en misbruikt is en de lijdensweg zij hebben moeten doorstaan om het onrecht ongedaan te krijgen. Daarbij weinig ondervinden zij weinig begrip en hulp van instanties en organisaties, die blind op hun systemen vertrouwen ("sorry, the computer says no"). Maar denk ook aan medische gegevens die van je worden bijgehouden en die niet kloppen. Verkeerde diagnose en behandelingen liggen op de loer, met alle gevolgen van dien.
Een uitdaging voor veel organisaties
Volgens de genoemde privacywetgevingen moeten organisaties ook in staat zijn om persoonsgegevens te corrigeren, om zo vervelende gevolgen voor de betrokkene te beperken. Voor veel organisaties kan dat voor een uitdaging vormen, aangezien het niet altijd helder is welke systemen welke persoonsgegevens verwerken en met welke andere systemen deze verbonden zijn. Helemaal spannend wordt het als de verwerking van persoonsgegevens is uitbesteed bij andere partijen, waar het vaak niet helder is op welke manieren dit gebeurt. Zo kan het gebeuren dat een wijziging van persoonsgegevens op meerdere plaatsen moet gebeuren (en als het tegenzit ook nog handmatig) en er de kans bestaat dat dit niet op alle noodzakelijke systemen kan gebeuren.
In kaart brengen persoonsgegevens(verwerkers)
Het is daarom ook van belang om als eerste stap in kaart te brengen welke persoonsgegevens er verzameld en verwerkt worden, op welke systemen, waar deze zich begeven, en -last but not least- door wie dit gedaan wordt. Vooral dat laatste is van groot belang, aangezien je als organisatie ook aansprakelijk bent voor wat er met persoonsgegevens gebeurt als deze door derde partijen worden verwerkt. Als dit alles duidelijk in beeld is gebracht kan pas worden gekeken naar wat er verbeterd moet worden, om aan de privacywetgeving te voldoen.
Bescherming van privacy gaat om meer dan alleen het voorkomen van het lekken van persoonsgegevens. Het gaat er ook om het recht dat je persoonsgegevens kloppen, zodat je er op kunt vertrouwen dat ze niet tegen je gebruikt kunnen worden of je er geen andere schade van ondervindt.
AVG-training voor IT-professionals
Bekijk hier de AVG training voor IT-professionals