Begin vandaag een gesprek over privacy op je werk #privacyweek

Illustratie: Leon Postma (redactioneel ontwerper bij De Correspondent)

Je kunt zelf de nodige stappen zetten om je privacy te verbeteren, zoals overstappen van WhatsApp naar Signal, een blocker en een wachtwoordmanager installeren en je gegevens opvragen bij de Belastingdienst. Maar je hebt ook nog invloed als je privacy bespreekt op je werk.

Of je nu accountant bent, verpleger, secretaresse, politieman, onderwijzer, consultant, advocaat, ambtenaar of journalist, in veel beroepen heb je te maken met persoonsgegevens. Dat kunnen gegevens zijn van collega’s of van klanten. Hoewel veel bedrijven en instanties goed willen doen, wordt er niet vaak stilgestaan bij hoe de organisatie met persoonsgegevens omgaat.

Laten we daar vandaag met zijn allen wat aan doen. Stel je baas, je collega’s van de ict-afdeling en jezelf vandaag een aantal vragen. Als genoeg mensen dit doen, ontstaat hopelijk een gesprek waardoor de privacy van collega’s en klanten kan verbeteren.

Omdat iedere organisatie weer anders is, geven we hieronder een aantal suggesties voor vragen die je kunt stellen als je privacy hoog op de agenda wilt zetten. Kies de vragen uit die voor jouw organisatie van belang zijn en stuur mails, start een gesprek tijdens de lunch of klamp je baas aan bij de koffieautomaat.

Dan nu de vragen.

1. Welke persoonsgegevens verzamelen wij eigenlijk? En van wie?

In de meeste organisaties is niet bekend welke persoonsgegevens verzameld worden. Het is niet zo’n heel grote moeite om iedere afdeling, business unit et cetera te laten rapporteren welke persoonsgegevens ze precies verzamelen.

Weet jouw bedrijf bijvoorbeeld of er ook gegevens over websitebezoekers worden verzameld? En welke gegevens zijn dat dan? Gaan er ook gegevens naar derden, zoals Google, Facebook, of andere webdiensten?

2. Wie is verantwoordelijk voor deze gegevens?

In sommige organisaties is een functionaris gegevensbescherming aangesteld en is de verantwoordelijkheid voor het gebruik van persoonsgegevens belegd op directieniveau.

Maar weet iedereen dat ook? In kleinere organisaties is niet meteen duidelijk wie het aanspreekpunt is voor gegevensbescherming. Dus: wie is er verantwoordelijk voor de bescherming van persoonsgegevens bij jouw bedrijf?

3. Hebben we de gegevens nodig voor ons functioneren of zijn we wettelijk verplicht deze gegevens te verzamelen en te bewaren?

Vaak zijn persoonsgegevens nodig, bijvoorbeeld omdat er een wettelijke verplichting bestaat ze bij te houden, of je je taak echt niet zonder kunt uitvoeren.

Maar vaak wordt meer verzameld dan nodig is. Van ieder type gegeven moet je heel duidelijk kunnen uitleggen waarom dat van belang is. Als je dat niet kunt, moet je dat gegeven niet verzamelen. ‘Handig voor het geval dat’ is een slecht argument.

4. Hebben we aan onze klanten (en aan onze collega’s) helder uitgelegd waarom we deze gegevens bewaren?

De meeste organisaties hebben weliswaar een privacy policy, maar vaak is die onleesbaar. Dat is nergens voor nodig. Je moet in heldere taal kunnen uitleggen waarom je gegevens verzamelt, wat je daarmee doet en wat je rechten zijn. Heeft jouw bedrijf zo’n uitleg?

5. Welke mogelijkheden kunnen we onze klanten geven om controle uit te oefenen op hun gegevens?

Is het mogelijk om klanten makkelijker inzage te geven in welke gegevens jouw bedrijf van hen bewaart? Kan je bedrijf bijvoorbeeld een site bouwen waar het klanten controle geeft over wat ze wel en wat ze niet willen afstaan? En wat doet je werkgever als iemand vraagt zijn of haar gegevens te vernietigen?

6. Worden de gegevens veilig opgeslagen?

Dit is een vraag die steeds relevanter wordt. Hoe meer je verzamelt, hoe meer je kwijt kunt raken en hoe groter je verantwoordelijkheid dus is. Daarnaast zijn bedrijven en overheden in toenemende mate interessant voor criminelen en spionnen die uit zijn op geheimen of gevoelige gegevens van medewerkers of klanten.

Dus: Hoe gaat jouw organisatie om met deze verantwoordelijkheid? Wie gaat hierover? Met welke externe partijen werkt jouw organisatie samen? Met Google? Dropbox? Mailchimp? Betaaldiensten zoals PayPal, Visa en Mastercard?

En hoe verder?

Hopelijk ontstaat met behulp van deze vragen een gesprek. Dat gesprek is slechts het begin van een soms moeilijk traject binnen je eigen organisatie. Om een idee te geven: bij De Correspondent hebben we het afgelopen jaar ook deze vragen gesteld, beantwoord en daarnaar geprobeerd te handelen.

Hoe dat is gegaan, voor welke problemen en afwegingen je als organisatie komt te staan, lees je in van Sebastian Kersten, onze chief technology officer. Onze belangrijkste les is deze: met een beetje moeite is het echt mogelijk om je organisatie privacyvriendelijk te maken.

Dus begin vandaag met vragen. En laat ons af en toe eens weten wat er met je vragen is gedaan.

Meer lezen?