Interview: van dataprotectie tot identiteitsfraude

door: Stephanie Rijk op: 30 januari 2018

Interview: van dataprotectie tot identiteitsfraude

Nog lang niet alle bedrijven in Nederland hebben een functionaris voor de gegevensbescherming in dienst. Simpelweg omdat dit niet voor ieder bedrijf verplicht is. Echter, voor bedrijven die na de komst van de Algemene Verordening Gegevensbescherming (AVG) te maken krijgen met het verwerken van bijzondere persoonsgegevens en overheidsinstanties wel. Hoe gaat SnelStart om met de aanscherping van de AVG? Ik was benieuwd en ging met collega Aad van Gils in gesprek. 

Aad (65) is voorlopig nog niet van plan te stoppen met werken. De oud-majoor der mariniers is na zijn maritieme carrière aan de slag  gegaan als manager informatieveiligheid. Voor hem een logische stap. Want hij heeft jarenlang gefunctioneerd als verbindingsofficier en zoals we weten is bij Defensie nogal wat geheim.

Inmiddels werkt hij vier dagen in de week bij SnelStart. De woensdag houdt hij vrij, dat is opa-dag 3.0. Tijdens dit drukke bestaan heeft Aad het ook nog voor elkaar gebokst om voor SnelStart een nieuw diploma in de wacht te slepen. Want we kunnen er echt niet meer omheen: 25 mei 2018 wordt de wet AVG van kracht. We werken hard naar die datum toe om SnelStart zo veilig mogelijk te maken. en te houden. Voor Aad de hoogste tijd om weer  in de schoolbanken te kruipen en zich te specialiseren tot functionaris voor de gegevensbescherming (FG).  

Het is niet niks om als zestiger het studeren weer op te pakken. "De opleiding tot FG is pittig, maar ik heb het tot een van mijn persoonlijke doelstellingen gemaakt om bij te dragen aan de verdere professionalisering van SnelStart en daar hoort dit bij."

''Het onderwerp privacy en dataprotectie is volop in beweging en wij zullen de komende maanden nog veel werk moeten verzetten om het voor elkaar te krijgen. Eén ding is zeker, SnelStart kan daarbij op mijn steun rekenen.'' 

Maar wat doet een FG nou zo de hele dag? Volgens Aad is dit heel divers: ‘’De ene keer behandel ik klantcases, van mensen die hun wachtwoord vergeten zijn of slachtoffers zijn geworden van identiteitsfraude. Op het andere moment zorg ik ervoor dat de SnelStart-medewerkers zorgvuldig te werk gaan of adviseer ik de directie bij het nemen van beslissingen.’’

Afgelopen jaar heeft hij Maria Genova, auteur van Komt een vrouw bij de h@cker, uitgenodigd om het personeel bewust te maken van identiteitsfraude. Op de werkvloer worden schermen gelockt door de Windows-toets in combinatie met de L-toets, zodat onbevoegden niet bij gegevens kunnen. Daarnaast blogt Aad regelmatig over een aantal onderwerpen die de medewerkers aangaan. Zodat zij continu worden geïnformeerd over het belang van de AVG en zij de wet- en regelgeving goed in gedachte houden.

Ontdekt een medewerker een fout of een datalek, dan wordt die geacht dit direct te melden bij de FG. Aad geeft als voorbeeld: "een medewerker stuurt persoonsgegevens door naar een verkeerde ontvanger. De taak van de FG is om dan te beoordelen wat voor gevolgen de fout of het datalek heeft. Aan de hand daarvan informeer ik al dan niet de Autoriteit Persoonsgegevens. Meldt de eigenaar van de gegevens het datalek bij de Autoriteit Persoonsgegevens, dan nemen zij contact op met de mij. De FG is een tussenpersoon voor de Autoriteit Persoonsgegevens. Zonder FG bestaat de kans dat de Autoriteit Persoonsgegevens zelf controles uitvoert binnen het bedrijf." Het niet voldoen aan de AVG kan voor fikse boetes zorgen.

Na het maken van een, soms onschuldige, fout wordt de werkwijze van de medewerker besproken. Hoe is zijn of haar gedrag? Gaat diegene echt onzorgvuldig om met gegevens? Heeft de fout een grote impact dan wordt de hele organisatie geïnformeerd of er worden technische maatregelen genomen om herhaling te voorkomen. 

''Als Functionaris Persoonsgegevens ben ik onafhankelijk. Kan er iets niet door de beugel, dan meld ik dat. Ongeacht of het medewerkers betreft waarmee ik al jaren werk of die ik persoonlijk goed ken.'' 

De onderwerpen privacy en dataprotectie zijn volop in beweging. "Voorkomen is beter dan genezen en daarom ligt het kennisniveau omtrent databescherming bij SnelStart hoog. In de algemene voorwaarden is opgenomen hoe lang klantgegevens bewaard mogen worden en waarvoor ze gebruikt worden." Daarnaast doet SnelStart aan data-minimalisatie: is er geen doel voor de verwerking van bepaalde persoonsgegevens, dan mogen deze niet worden gevraagd.

 ''De wetgeving AVG is een richtlijn en een handig naslagwerk. Maar privacy en dataprotectie moet in het DNA zitten van al onze medewerkers.''

"Het is en blijft een kwestie van je gezonde verstand gebruiken en goed nadenken over de autorisatie binnen een bedrijf. Kies de noodzaak en wees zorgvuldig met het geven van toegang tot gegevens." Bij SnelStart staat betrouwbaarheid voorop. Aad maakt deze belofte waar. En ja, het is puur toeval dat de afkorting van de Algemene Verordening Gegevensbescherming (AVG) hetzelfde is als die van Aad Van Gils (AVG). Of toch niet?