Veilig en bewust omgaan met persoonsgegevens is voor Junis Kinderopvang een absolute must. Met de introductie van de nieuwe AVG-wetgeving is het belang om die processen nog beter te structureren alleen maar toegenomen. MostWare nam Junis met gave technologie en uitgebreide expertise op dit gebied veel werk uit handen.
Van a tot z klaar voor de nieuwe wetgeving
“Junis biedt kinderopvang in de breedste zin van het woord,” vertelt Bart Elenga, adjunct-directeur bedrijfsvoering. “Van dagopvang tot gastouderopvang en van buitenschoolse opvang tot peuteropvang en alles ertussenin. Met 85 vestigingen en zo’n 750 medewerkers in de gemeenten Zoetermeer, Alphen aan den Rijn en Bodegraven, zijn wij marktleider of runner-up in deze regio.” Extra bijzonder: Junis Kinderopvang is een maatschappelijk verantwoorde organisatie die de rendementen investeert in haar dienstverlening.
“Als kinderopvang hebben wij natuurlijk ook een grote maatschappelijke verantwoordelijkheid als het gaat om de verwerking van persoonsgegevens,” gaat Bart verder. “Daar waren wij ons altijd al erg van bewust, maar met de komst van de AVG-wetgeving is de noodzaak om de processen die daarmee samenhangen inzichtelijk te maken – en tot in detail te stroomlijnen – nog groter geworden.” Hoewel Junis de zaken dus al goed op orde had, bleek het zetten van de spreekwoordelijke punten op de i geen eenvoudige opgave. Gelukkig wist MostWare precies welke stappen genomen moesten worden om Junis klaar te stomen voor de nieuwe wet.
Beleid, procedures en een verwerkingsregister
“We zijn gestart met het afnemen van diverse interviews,” vertelt Marc. “Welke data heb je? Op welke manier worden deze gegevens verwerkt? Waar worden ze vastgelegd? Met welke applicaties werk je? Allemaal belangrijke informatie om een goed beeld te krijgen van de gegevensverwerking. Van daaruit konden we aan de slag met het realiseren van een verwerkingsregister. Hierin leg je onder andere vast met welk doel gegevens worden geregistreerd en met wie deze gegevens worden gedeeld, maar ook hoe lang ze bewaard mogen worden en hoe ze beveiligd zijn.” Dat laatste vraagt om uitgebreide maatregelen en procedures. Ook daarbij kon Junis vertrouwen op de expertise van MostWare. Bart: “Dankzij de kennis van Marc en zijn collega’s konden we in relatief korte tijd belangrijke slagen maken. Naast het opstellen van een verwerkingsregister, hielpen zij ons met het aanscherpen van ons privacybeleid, inclusief de procedures voor de meldplicht datalekken en onze privacyverklaring.”
Een stevig fundament
“MostWare heeft een stevig fundament gelegd. Er ligt een mooi plan van aanpak en we voldoen aan alle wet- en regelgeving. Nu is het aan ons om de nieuwe maatregelen te borgen binnen de organisatie,” aldus Bart. “Uiteindelijk gaat privacy natuurlijk niet alleen om regeltjes en technologie, maar vooral over bewustwording en menselijk gedrag. Daarbij is het prettig dat we met vragen altijd bij MostWare terecht kunnen. Sowieso zijn de lijntjes kort, omdat zij voor ons ook het ICT-beheer verzorgen via een Managed Services contract. Daarin zijn ze heel proactief. Nieuwe technologische ontwikkelingen, maar dus ook zaken zoals de gevolgen van de nieuwe privacywetgeving, brengen zij bij ons onder de aandacht. Wat dat betreft hebben ze een duidelijke visie, denken ze met je mee en zijn ze heel flexibel in hun dienstverlening.”
Klant
Junis Kinderopvang
Oplossingen
Sector
Downloads
Tijdens dit project ontstonden de volgende vragen:
Waarom moeten er allemaal procedures en registers opgesteld worden?
Eén van de belangrijkste onderdelen van de AVG is de verantwoordingsplicht. Als organisatie moet je kunnen aantonen dat je aan de beginselen van verwerkingen voldoet (verwerkingsregister) en dat je bewuste keuzes maakt waarom datalekken niet gemeld worden (datalekkenregister). De procedures zijn er op hun beurt weer voor om ervoor te zorgen dat je weet wanneer keuzes gemaakt moeten worden en het register (bij)gevuld moet worden.
Wat is nou het nut van het uitvoeren van de Data Protection Impact Assessments (DPIA)?
Voordat de AVG actueel werd voerden sommige organisaties risicoanalyses uit op bestaande systemen of projecten. Als er dan bleek dat het dan goed mis was dan kon een organisatie maatregelen nemen. Helaas is dit een reactieve houding, als een organisatie überhaupt risicoanalyses uitvoert. Met de komst van de DPIA worden bedrijven verplicht om voorafgaand aan grote veranderingen kritisch te kijken naar de privacyrisico’s voordat ze aan aan het daglicht kunnen komen. Door een DPIA voorafgaand aan de verandering uit te voeren kan de privacy van de betrokkenen het best beschermd worden.
Een oud-medewerker heeft een verzoek ingediend om al zijn gegevens te verwijderen, wat moet ik hiermee?
Met de komst van de AVG hebben betrokkenen sterkere en nieuwe privacyrechten gekregen. Maar dat wil niet zeggen dat je als organisatie altijd moet voldoen aan de verzoeken. Sterker nog, het kan zelfs zijn dat het wettelijk verboden is om een verzoek te honoreren. Wanneer vanuit wetgeving wordt geëist dat je gegevens moet bewaren mag je niet voldoen aan een verzoek van een betrokkene. Wees dus altijd kritisch op de binnenkomende verzoeken en behandel deze zorgvuldig.
Kan ik je helpen?
Marc
Business Consultant
