Interview met Marius van Rijswijk, senior consultant, werkzaam bij Verdonck, Klooster & Associates
ICT-adviesbureau VKA is gespecialiseerd in IT-architectuur, sourcing, programmamanagement én privacy en security.
FlexKnowledge heeft een half jaar geleden het initiatief genomen om samen met
Verdonck, Klooster & Associates (VKA), ARTRA en Bureau Cicero een compleet pakket van diensten aan te gaan bieden om organisaties in de flexbranche praktisch te ondersteunen bij de voorbereidingen op de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Ieder werkt vanuit de eigen expertise en dat blijkt elkaar perfect aan te vullen.
De basis wordt een ‘Privacy toolbox’ voor organisaties met handige templates, tips & tricks en een handboek om grip te krijgen op privacy. VKA heeft ervaring met een dergelijke toolbox in de zorg en de vertaalslag naar de flexbranche wordt gemaakt door FlexKnowledge. Het pakket wordt aangevuld met opleidingen en e-learning van ARTRA en een certificeringstraject door Bureau Cicero.
Marius van Rijswijk van VKA licht het initiatief toe namens alle partijen.
De nieuwe Europese privacywetgeving
Op 25 mei 2018 moeten organisatie voldoen aan de AVG. Deze Europese wetgeving vervangt de huidige privacywetgeving, de Wet bescherming persoonsgegevens. De AVG geldt voor alle bedrijven, die persoonsgegevens verwerken. Ook in de uitzendsector worden persoonsgegevens verzameld, zoals kopie identiteitsbewijs, BSN, ziekmeldingen, verklaring omtrent gedrag (VOG).
Quick scans en beheersmaatregelen
Hoe bereiden VKA, Flexknowledge, ARTRA en Cicero uitzendorganisaties voor op de invoering van de AVG?
“We realiseren dit via een ‘drietrapsraket’,” zegt Van Rijswijk.
Stap 1: creëren van bewustzijn
“Door middel van interviews, blogs, e-learning, workshops en een quick scan AVG maken we de branche bewust van wat er nodig is.”
Stap 2: voorbereiden op de AVG en uitvoeren verbetermaatregelen
“De AVG eist het hebben van allerlei processen en documenten. Denk hierbij aan een privacystatement, een register waarin beschreven staat welke data met welk doel verzameld worden, hoe lang deze bewaard mogen blijven, et cetera. Al dit soort documenten gaan we aanbieden in een toolbox. Daarnaast kunnen organisaties een AVG maturity scan laten uitvoeren, waarmee ze inzicht krijgen in de mate waarin zij voorbereid zijn op de AVG en wat zij nog moeten doen. Organisaties die dat nodig hebben, kunnen we op maat adviseren. Verder bieden wij samen met ARTRA een e-learning module aan en een privacyspel. Ook incompany opleidingen zijn natuurlijk mogelijk. Hiermee helpen we organisaties om hun privacybeleid te implementeren in de bedrijfscultuur en die ook praktisch in te richten in de werkprocessen. En wil je hier ondersteuning bij, dan levert FlexKnowledge consultants die dit proces begeleiden. Als dit framework eenmaal staat, dan leveren wij ook Data Protection Officers, ook wel genoemd de Functionaris Gegevensbescherming, die je helpt bij het vervullen van de wettelijke taken die bij de AVG horen, zoals het rapporteren van datalekken.”
Stap 3: certificering
“In 2019 richten wij ons, in samenwerking met Cicero, op het duurzaam professionaliseren van de organisatie op het gebied van privacy door middel van certificering.”
Van Rijswijk: “Het gaat nu allereerst om bewustwording; nog niet alle uitzenders weten welke uitdagingen er zijn in de nieuwe situatie, laat staan dat alle medewerkers in de organisaties weten waar zij op moeten letten.
Wij bieden een AVG maturity scan aan waarmee organisaties de sterke en zwakke punten in hun werkprocessen wat betreft bescherming van persoonsgegevens in beeld krijgen. Vervolgens helpen we hen praktisch om de noodzakelijke beheersmaatregelen te implementeren en uit te voeren. Onze scans gaan in op acht thema’s, voortvloeiend uit de richtlijnen in de AVG.”
De acht thema’s zijn:
1. Inrichting van de privacyorganisatie
2. Inzicht in verwerkingen en grondslagen
3. Verantwoordelijke en verwerker
4. Privacy impact assessment (PIA)
5. Beveiliging
6. Privacy bij design/ default
7. Rechten van betrokkenen
8. Privacycultuur
Functionaris voor de Gegevensbescherming
“Het aanstellen van een Functionaris voor de Gegevensbescherming (FG) is verplicht wanneer een organisatie bijzondere persoonsgegevens verwerkt, dit op grote schaal doet en dit de kernactiviteit van de organisatie is. Bijzondere gegevens zijn bijvoorbeeld medische gegevens of gegevens over ras of seksuele geaardheid.
Het is dus belangrijk om te bepalen óf je een FG nodig hebt. Ook wanneer je niet direct verplicht bent een FG te benoemen, kan het toch raadzaam zijn een FG of een vergelijkbare passende rol te creëren binnen de organisatie.”
FG outsourcing
“Veel organisaties zien zich hierdoor gesteld voor extra kosten. Om organisaties tegemoet te komen bieden wij vanuit VKA outsourcing aan van de FG. FG-as-a-service noemen we dat,” zegt Van Rijswijk. “Uitzendbureaus kunnen in groepsverband via ons gebruik maken van de diensten van een gedeelde externe FG. Onze FG beschikt over een opleiding en jarenlange ervaring en FlexKnowledge zorgt voor de vertaalslag naar de flexbranche. Hij/Zij is toegerust om de compliance aan de AVG onder zijn of haar hoede te nemen voor een groep van bureaus, wat die organisaties een flinke kostenbesparing oplevert.
We lanceren hiervoor op 1 januari 2018 gezamenlijk een speciale website, waarop het hele dienstenpakket staat uitgewerkt. We hopen ook de ABU en NBBU bij ons initiatief te betrekken,” aldus Van Rijswijk.
Neem voor meer informatie contact op met VKA, Marius van Rijswijk, gespecialiseerd in security en privacy, of met Marcel Reijmers, FlexKnowledge.
Interview: Hinke Wever, FlexNieuws
