Werken met de privacywet (AVG/GDPR): uitdagingen in de praktijk

De AVG stelt eisen aan de manier waarop persoonsgegevens worden verwerkt en beheerd. Organisaties moeten kunnen vastleggen en uitleggen:

• welke persoonsgegevens worden verwerkt
• met welk doel
• in welke systemen deze gegevens zijn opgenomen
• wie verantwoordelijk is voor de verwerking
• hoe lang gegevens worden bewaard

Deze informatie is vaak wel deels aanwezig, maar niet altijd actueel, samenhangend of volledig. Dat maakt het lastig om privacy structureel te borgen.

Een veelvoorkomend probleem is het ontbreken van een actueel overzicht van gegevensverwerkingen. Persoonsgegevens zijn verdeeld over meerdere applicaties, koppelingen en werkprocessen. Dit is vaak door de jaren heen zo gegroeid. Zonder goed overzicht is het lastig om te sturen of te verantwoorden.

Privacybeleid en procedures zijn meestal wel vastgelegd. De vertaling naar het dagelijkse werk blijft echter achter. Medewerkers weten vaak wat mag en wat niet, maar ervaren privacyregels niet als onderdeel van hun normale werkzaamheden.

De AVG introduceert verschillende rollen, maar laat ruimte voor interpretatie. In de praktijk is daardoor niet altijd duidelijk wie verantwoordelijk is voor een gegevensverwerking, wie toeziet op juistheid en actualiteit van gegevens of wie actie onderneemt bij afwijkingen of risico’s.

In de dagelijkse praktijk werken medewerkers onder tijdsdruk. Als processen of systemen niet goed aansluiten, ontstaan alternatieve werkwijzen. Denk aan lokale bestanden, eigen overzichten of aanvullende lijstjes. Deze werkwijzen vergroten het risico op fouten en datalekken.