‘Informeer medewerkers per functie over de AVG’

Maar wat doen bedrijven nu precies om de AVG in te voeren? Chris Maliepaard, docent bedrijfskunde bij Fontys, begeleidde vier afstudeerstudenten die onderzoek deden naar de invoering van de AVG in verschillende bedrijven. Dit onderzoek werd uitgevoerd in onder andere de meubelbranche, de automotive branche en in een ouderenzorgorganisatie.

“Wat we zien gebeuren, is dat veel bedrijven het wiel opnieuw aan het uitvinden zijn”, stelt Maliepaard. “Zij nemen de wetgeving van A tot Z door en kijken hoe zij deze toe moeten passen”. Volgens Maliepaard is dit in veel gevallen overbodig. “De meeste branches hebben richtlijnen opgesteld, die gewoon direct overgenomen kunnen worden. Dit spaart een heleboel tijd en moeite”.

AVG en gevoelige data

De AVG is volgens Maliepaard niet voor alle branches even relevant. “Vooral branches waarin gewerkt wordt met gevoelige gegevens moeten alert zijn op de AVG. Het betreft hier onder andere gegevens zoals gezondheidsgegevens en gegevens rondom strafrechtelijk gedrag. Als dit type gegevens op straat komt te liggen, is dit bijzonder kwalijk. Een goed voorbeeld hiervan is Barbie, van wie door onethisch gedrag van medewerkers privacy-gevoelige gegevens omtrent haar gezondheid in de openbaarheid kwamen.”

Lees ook: Wat mag je wel en niet opnemen in het personeelsdossier

Medewerkers begrijpen AVG

Volgens Maliepaard komt uit de afstudeeronderzoeken naar voren dat medewerkers de basiselementen van de AVG goed begrijpen. “Medewerkers begrijpen wat de wet inhoudt, waarom deze is geïntroduceerd en dat het gaat om de bescherming van privacy-gevoelige gegevens. Het kennisniveau van medewerkers over de AVG is dus ruimschoots aanwezig.”

Toepassing AVG ingewikkeld

“Waar het mank gaat, is dat medewerkers niet altijd weten hoe zij de AVG in hun dagelijks werk moeten toepassen”. Bedrijven kunnen dit volgens Maliepaard oplossen door relevante AVG-instructies op te stellen. “Cruciaal is dat je in kaart brengt wat de data-intensiteit per functie is. Je ziet dan al snel dat de AVG voor sommige functies heel relevant en voor andere functies totaal irrelevant is.” Volgens Maliepaard is het verstandig om per functie medewerkers te informeren over wat de AVG voor hen inhoudt.

Cultuur

Belangrijk voor een goede toepassing van de AVG is volgens Maliepaard dat organisaties kijken naar de cultuur van hun organisatie. “Is er een cultuur van zorgvuldigheid als het gaat om het verstrekken van privacy-gevoelige gegevens?” Een ouderenzorgorganisatie checkte dit bijvoorbeeld door alle medewerkers een phishing mail te sturen. Men ontdekte dat het merendeel van de medewerkers hier zorgvuldig mee omging. Volgens Maliepaard laat dit zien dat je als organisatie goede mogelijkheden hebt om na te gaan of er binnen de organisatie een cultuur van zorgvuldigheid heerst.

Mirjam Baars is docent onderzoek bij de opleiding Bedrijfskunde van Fontys Hogescholen en directeur van onderzoeksbureau SatisAction (dat jaarlijks in samenwerking met PW. Het Nationaal Onderzoek Talentontwikkeling uitvoert: zie www.nationaalonderzoektalentontwikkeling.nl).