Veilig en bewust omgaan met persoonsgegevens stond voor Alliantie Nederland Rookvrij altijd al hoog op de agenda, maar een structurele aanpak ontbrak nog. MostWare ging deze uitdaging aan. En met succes: inmiddels voldoet Alliantie Nederland Rookvrij niet alleen aan alle wet- en regelgeving, maar zijn ze ook klaar voor de toekomst.
Scherpe inzichten, slimme processen en optimale beveiliging
De Alliantie Nederland Rookvrij en MostWare bleken een perfecte match toen zij via een andere klant van MostWare met elkaar in contact kwamen. “De Alliantie Nederland Rookvrij is een initiatief van de Hartstichting, KWF Kankerbestrijding en het Longfonds,” vertelt beleidsmedewerker Corine van Turennout. “Onze ambitie is het realiseren van een Rookvrije Generatie. In Nederland sterven elk jaar meer dan 20.000 mensen aan de gevolgen van roken en meeroken en iedere week raken honderden kinderen verslaafd aan roken. Daar willen wij wat aan doen. Gelukkig zien we dat hier steeds meer draagvlak voor ontstaat. Dankzij dit succes groeien wij als organisatie snel en dat stelt ook andere eisen aan onze IT-infrastructuur. Vandaar dat wij op zoek waren naar een partner die dat voor ons uit handen kon nemen.” MostWare was op haar beurt op zoek naar een goed doel om zich aan te verbinden, om zo invulling te geven aan de doelstellingen op het gebied van Maatschappelijk Verantwoord Ondernemen. Marc Both, Business Consultant bij MostWare: “Een Rookvrije Generatie, dat wil toch iedereen? Ook als je zelf rookt, wil je niet dat je kinderen gaan roken.” Zo ontstond een waardevol partnerschap voor beide partijen.
Een aanpak op maat
Naast het aanpakken van de infrastructuur, ging MostWare voor Alliantie Nederland Rookvrij aan de slag met informatiebeveiliging. Marc: “De eerste stap was het in kaart brengen van de persoonsgegevens die de Alliantie verwerkt. Omdat de Alliantie geen doorsnee organisatie is, kwamen we er al snel achter dat de door ons ontwikkelde aanpak die we normaal gesproken hanteren bij een dergelijk nulmeting, niet toereikend was.” Gelukkig konden Marc en zijn collega’s terugvallen op hun uitgebreide expertise op dit gebied. “We hebben ter plekke beoordeeld wat voor de Alliantie van toepassing was en welke stappen we moesten nemen om te voldoen aan de privacywetgeving.” Corine voegt daaraan toe: “De gegevens die wij verzamelen zijn over het algemeen vrij beperkt, maar we hebben wel een grote maatschappelijke verantwoordelijkheid. Een gedegen aanpak was voor ons dus essentieel, MostWare begreep dat heel goed.”
Drie belangrijke pijlers
Op basis van de eerste inventarisatie besloot de Alliantie in overleg met MostWare om te starten met drie belangrijke pijlers op het gebied van informatiebeveiliging en privacywetgeving:
- Het verwerkingsregister
- De procedure meldplicht datalekken
- De rechten van betrokkenen
“Het verwerkingsregister wordt gebruikt om alle informatie rondom de verwerking van de persoonsgegevens vast te leggen. Dat is vaak veel uitgebreider dan men denkt,” vertelt Marc. “Niet alleen leg je vast van wie je de gegevens verwerkt en waarom, maar ook waaruit deze gegevens precies bestaan, met wie je ze deelt, hoe ze beveiligd worden en wanneer ze gewist moeten worden. Daarnaast zijn we aan de slag gegaan met het opstellen van een procedure voor het melden van datalekken. In Nederland zijn alle bedrijven en organisaties namelijk verplicht om datalekken waarbij persoonsgegevens betrokken zijn, te melden. Een goede procedure helpt je daarbij. Tot slot geldt onder de AVG dat betrokkenen van wie de persoonsgegevens verwerkt worden, bepaalde rechten hebben. Bijvoorbeeld het recht om hun gegevens in te zien of om de gegevens te laten verwijderen. Met de juiste inrichting van systemen en processen kun je daarop anticiperen en weet je precies wanneer en hoe je aan dit soort aanvragen moet voldoen.”
Een continu proces
Corine: “Het grote voordeel van de AVG-wetgeving is, dat het je dwingt om na te denken over de informatie die je verzamelt en wat je ermee doet. Wij hebben bijvoorbeeld op onze website een petitie die mensen kunnen ondertekenen voor een rookvrije sportvereniging of speelplek. Deze petitie ondertekenen ze met hun naam en e-mailadres. Dit is een groot succes en de petitie wordt veel ondertekend. Graag zouden we dit succes een vervolg geven, maar daarbij moeten we natuurlijk wel rekening houden met de privacywetgeving. De mensen die de petitie ondertekenen, willen immers hetzelfde als wij: een rookvrije sport- of speelplek, maar dat betekent niet automatisch dat wij hun gegevens mogen gebruiken voor een vervolgcampagne. Inmiddels hebben we daar een goede modus in gevonden. Zo is informatiebeveiliging een continu proces waarbij je steeds opnieuw gedwongen wordt je beleid en maatregelen te toetsen aan de praktijk. Gelukkig helpt MostWare ons daarbij. Zowel op het gebied van bewustwording, als qua technische oplossingen en maatregelen.”
Klant
Alliantie Nederland Rookvrij
Oplossingen
Sector
Downloads
Tijdens dit project ontstonden de volgende vragen:
Moet ik altijd voldoen wanneer een betrokkene zijn rechten uitoefent
Nee, dit is zeker niet het geval, afhankelijk van het recht wat de betrokkenen uitoefent kan het zijn dat je hier niet aan MAG voldoen. Denk bijvoorbeeld aan wettelijke bewaartermijnen waardoor je niet aan de verzoek op vergetelheid hoeft te voldoen.
Ik heb een derde partij die voor mij persoonsgegevens verwerkt, dan hoef ik toch niets te doen met de rechten van betrokkenen omdat ik de data niet heb?
Dat is niet correct. Wanneer jij een derde partij inschakelt (een zogenaamde verwerker) ben jij ook verantwoordelijk wanneer een betrokkene zijn recht uit oefent dat dit ook netjes afgehandeld wordt bij de derde partij.
In de case wordt gesproken over een verwerkingsregister, wat houdt dat eigenlijk in?
Een verwerkingsregister is een register waarin alle processen staan beschreven waar persoonsgegevens worden verwerkt. Dit register moeten veel organisaties opstellen én bijhouden. Dit om te voldoen aan de opgelegde verantwoordingsplicht.
Kan ik je helpen?
Marc
Business Consultant
