Stichting AVG Garant: privacy normeren

Wat is het doel van Stichting AVG Garant? Interview met bestuursleden Theo van Leeuwen en Jeroen van Puijenbroek. ‘De Stichting AVG Garant wil bedrijven helpen bij het uitvoeren én het uitdragen van hun integere bedrijfsbeleid met betrekking tot persoonsgegevens.’ Op 25 mei a.s. treedt de Algemene Verordening Gegevensverwerking (AVG) in werking. De intrede van de AVG was voor Theo van Leeuwen, algemeen directeur van Bureau Cicero, aanleiding om de Stichting AVG Garant op te richten. Het bestuur bestaat uit hem en Jeroen van Puijenbroek. De laatste is gespecialiseerd in privacy vraagstukken en privacy audits en geeft onder meer voorlichting aan leden van de Bovib. Woordvoerder en secretaris van de stichting is Gerrit van Rooij, privacy adviseur en FG in de uitzendbranche. Bureau Cicero richt zich onder meer op controles van uitzend- en payrollorganisaties ten behoeve van het SNA Keurmerk. Ook worden controles uitgevoerd ten behoeve van compliance aan de WAS en de WDBA. Van Leeuwen: “Veel klanten die ons inschakelen voor de SNA-certificering, vroegen me: kun je ons helpen met de AVG? Zijn er centrale normen voor? Die normen willen we gaan vaststellen. Bovendien zijn we toch al vaak aanwezig in hun organisaties. De procedures voor certificering zijn ook te gebruiken in het kader van privacy. Een combinatie is dan logisch. Laten we vooral niet dingen dubbel gaan doen.” AVG nodigt uit tot certificering “Hun vraag sluit ook aan bij de oproep in de wettekst van de AVG. De opstellers van de AVG (GDPR genoemd in de EU) doen een oproep aan partijen in de Europese markt om te komen tot een vorm van privacy certificering. Bedrijven moeten kunnen aantonen dat zij werken in lijn met de AVG; dit vraagt controleerbare werkprocessen. Certificering kan daarbij helpen, omdat het normen geeft voor de inrichting van procedures en werkprocessen die compliant zijn aan de AVG. In Europa is de NEN/CEN bezig met een vorm van normering en certificering, maar deze is vooral gericht op grote organisaties, en het zal lang duren voordat deze van de grond komt. Daarom leek het mij goed te beginnen met normering voor de sector arbeid waar wij ons met Bureau Cicero op richten.” Behoefte in de markt aan certificering? Dat klinkt logisch, maar zit de markt wel te wachten op nog meer regels en controles? De uitzendbranche gaat al onder regeldruk gebukt. Jeroen van Puijenbroek geeft aan dat certificering niet leidt tot extra regeldruk. “De AVG verlangt van organisaties dat ze kunnen aantonen dat ze compliant zijn. Certificering kan als middel hiervoor worden gebruikt. Niet alleen richting de Autoriteit Persoonsgegevens maar ook richting opdrachtgevers en leveranciers. Kijk naar wat er nu gebeurt. De AVG is in veel opzichten niet helemaal duidelijk. De tekst laat de precieze uitleg van de regels over aan brancheorganisaties en andere gespecialiseerde partijen. Op dit moment is iedereen bezig zelf de regels uit te leggen. Dat leidt tot versnippering en is niet efficiënt. Er zijn in de markt ruim 12.000 uitzendbureaus, waarvan er 4.500 zijn gecertificeerd. Zij doen allemaal hetzelfde. Laten we dan ook uitgaan van een gemeenschappelijk platform dat dezelfde regels hanteert.” Normenlijst “Wij hebben een normenlijst opgesteld die wij al een paar keer hebben getoetst. Op korte termijn gaan wij die normenlijst verder bij uitzendbureaus toetsen. De geëvalueerde normen zullen wij ter controle voorleggen aan de Autoriteit Persoonsgegevens, zodat die goedkeuring kan geven. De AP heeft interesse in onze praktische aanpak, omdat elke sector weer eigen uitdagingen heeft in de uitleg en toepassing van de regels.” In gesprek met brancheorganisaties “Wij voeren gesprekken met brancheorganisaties zoals de ABU, de NBBU, de Bovib en de OSB (schoonmaaksector). In overleg komen wij tot duiding en normering. De brancheorganisaties waarderen onze oproep om te komen tot normering maar zijn zelf nog wat zoekende naar hun eigen rol daarin. Hun voorlichtingsrol hebben zij wel serieus opgepakt met informatiebijeenkomsten en de ontwikkeling van tools waarmee personeelsintermediairs de AVG makkelijker kunnen hanteren. Dus ja, het onderwerp leeft in de flexbranche.” Privacy is een vorm van sociale hygiëne Theo van Leeuwen heeft in het verleden gewerkt in de voedingsindustrie. “Voedselveiligheid en dataveiligheid lopen parallel in de manier waarop ze een plek hebben of krijgen in de samenleving. Bij voedsel gaat het om hygiënische bereiding en verpakking van voedsel. Inmiddels vindt iedereen dat normaal. Ik verwacht dat over vijf jaar consumenten met eenzelfde vanzelfsprekendheid hoge eisen stellen aan sociale hygiëne in de omgang met persoonsgegevens.” Op termijn vereiste bij aanbestedingen Jeroen: “In de keten van opdrachtgevers en personeelsleveranciers zie ik certificering voor de AVG als een manier om aan te tonen dat je als organisatie compliant bent. Nu wordt er al eens om een ISO 27001 certificaat gevraagd. Deze certificering richt zich vooral op informatiebeveiliging en dekt zeker niet alle aspecten van de AVG. Ik verwacht dat compliance aan de AVG over enige tijd ook een eis wordt bij aanbestedingen. Regeren is vooruitzien, wie verstandig is, anticipeert hier op.” Bewustwordingsproces “Natuurlijk zal het tijd vragen, voordat dit besef breed in de markt is geland. In het verleden zagen wij eenzelfde bewustwordingsproces bij de introductie van de NEN 4400 norm en het SNA keurmerk in de uitzendsector. Aanvankelijk moesten wij steeds weer uitleggen dat uitzendkrachten respect verdienen en dus ook respectvol, in lijn met de regelgeving, moeten worden behandeld. Ook hier gold en geldt: uitzendkrachten zijn medewerkers met dienovereenkomstige rechten.” Stichting AVG Garant expert meeting “Wij willen ons afficheren als een platform voor overleg in brancheorganisaties. De Stichting AVG Garant heeft makkelijker toegang tot de Autoriteit Persoonsgegevens dan individuele organisaties. Zo kunnen wij visies delen en een spreekbuis zijn voor de autoriteiten. We zien het als onze taak om extra voorlichting te geven of normerend optreden. In de tweede helft van mei organiseren wij een expert meeting met alle brancheorganisaties.” Pilot, wie durft? Tot slot doet Van Leeuwen een oproep: “We gaan binnenkort van start en zoeken bedrijven voor een pilot van de eerste AVG-certificering per 1 juni. Geïnteresseerden kunnen zich melden via [email protected] of 06-22997486.” Interview: Hinke Wever, FlexNieuws
flexnieuws
16-04-2018 10:36