Eerste AVG boete uitgedeeld. Zo kunt u het voorkomen

De eerste boete die de Autoriteit Persoonsgegevens (AP) uitdeelt op basis van de privacywet AVG is een feit. Het Haga Ziekenhuis krijgt een voorlopige boete van 460.000 euro wegens slechte interne beveiliging van patiëntdossiers. Lees hier hoe u een boete voorkomt in uw organisatie.  Uit onderzoek van de AP bekeken 85 medewerkers onrechtmatig het medisch dossier van Samantha de Jong, bekend als ‘Barbie’. Dit had vanaf de invoering van de AVG op 25 mei 2018 in orde moeten zijn. Om het ziekenhuis te dwingen de beveiliging van patiëntdossiers te verbeteren, krijgen zij een last onder dwangsom. Per 2 oktober 2019 moet de beveiliging zijn verbeterd. Anders moet het Haga Ziekenhuis elke twee weken 100.000 euro betalen. Tot zover is bekend dat zij inmiddels maatregelen nemen. Werk voor HR Voor HR leveren de strengere privacyregels veel extra werk op. Volgens Steffie Schepers van RWV Advocaten hebben veel organisaties een aantal nieuwe klussen bij de personeelsafdeling neergelegd. Bijvoorbeeld het opstellen en bijhouden van een verwerkingsregister. Zet per klant of werknemer de doeleinden en de verwerking bij elkaar. In dit register zijn dus alle verwerkingen van persoonsgegevens te vinden. Betrek er van iedere afdeling één contactpersoon met kennis van zaken bij (bijvoorbeeld inkoop, verkoop, financiën en ICT). De Autoriteit Persoonsgegevens kan controleren of het op orde is. HR dient bijvoorbeeld sollicitatieprocedures, personeelsdossiers, bewaartermijnen, administratie en uitwisseling van gegevens bij ziekte en re-integratie in overeenstemming met de AVG te brengen. In een whitepaper gaat Schepers dieper in op 4 aandachtspunten over de AVG voor HR: 1. Breng informatiestromen binnen de HR-afdeling in kaart 2. Bepaal hoe u omgaat met een datalek 3. Persoonsgegevens mogen niet tot in oneindigheid worden bewaard 4. De zieke werknemer en de AVG Praktijkvragen Een HR-adviseur laat een negatieve beoordeling van een personeelslid in de kantine liggen. Moet haar organisatie dit melden bij de Autoriteit Persoonsgegevens? Het antwoord luidt ‘ja’ volgens Schepers, want collega’s kunnen de negatieve beoordeling en de slechte financiële resultaten van de medewerker inzien. ‘Hoewel het gaat om de gegevens van één persoon, is het wel gevoelige informatie die kan leiden tot reputatieschade en uitsluiting door collega’s.’ Zij raadt ook aan de persoon zelf op de hoogte te stellen. Hoe pijnlijk ook, het getuigt van goed werkgeverschap om fouten ook bij de betrokkene te melden. Een HR-medewerker heeft een vakantieverzoek van een medewerkster laten slingeren in het kopieerhok. Moet de organisatie dat melden bij de Autoriteit Persoonsgegevens? Het antwoord is ‘nee’, want het ging in dit geval om een gering aantal persoonsgegevens en de informatie was niet privacygevoelig op het hoogste niveau. ‘Het was anders geweest als alle vakantieverzoeken van de medewerkers op straat kwamen te liggen. Dan hadden dieven hun slag kunnen slaan.’ Wist u de antwoorden op deze vragen? AVGHoe voldoet u aan de eisen van de AVG? Welke stappen doorloopt u en welke aandachtspunten zijn er voor HR? Bekijk het dossier over de AVG >>>   Het bericht Eerste AVG boete uitgedeeld. Zo kunt u het voorkomen verscheen eerst op XpertHR Actueel.
xperthr
17-07-2019 12:47