Het begon met een e-mail.
Een keurig verzoek, netjes onderbouwd met een verwijzing naar artikel 15 van de AVG. Een sollicitant vroeg om “inzage in alle persoonsgegevens die u van mij verwerkt.” We lazen het, knikten naar elkaar en dachten: prima. Dat lossen we op.
Maar toen we gingen kijken, begon het ongemak.
Waar stonden die gegevens eigenlijk? In de inbox van HR, waarschijnlijk. Misschien ook in een gedeeld document in Google Drive. En hadden we in het gesprek intern iets genoteerd in het CRM, bij de opmerkingen?
Wat eerst een eenvoudige actie leek, werd een zoektocht. Naar bestanden, verantwoordelijkheden en afspraken die er simpelweg niet bleken te zijn. Geen procedure, geen overzicht, geen logging. En terwijl de wettelijke termijn van dertig dagen begon te tikken, groeide vooral het besef: we zijn dit niet vergeten… we hadden het gewoon nooit goed geregeld.
We voelden geen stress, we voelden schaamte.
Privacy lijkt geregeld, tot je het moet bewijzen
Voor veel kleinere organisaties voelt privacy als iets wat ‘wel aardig op orde is’. Je hebt een privacyverklaring op je website, een verwerkersovereenkomst bij je softwareleveranciers, misschien een paragraaf in het handboek. Klaar.
Maar privacy is geen intentie. Het is bewijs. Kun je aantonen wát je verzamelt, wáár je het bewaart, wie erbij kan, wanneer je het verwijdert, en hoe je reageert als iemand daar vragen over stelt?
Als je dat niet kunt, dan is je beleid misschien in orde. Maar je praktijk is kwetsbaar.
Wat we ontdekten toen we echt moesten leveren
Op papier verwezen we netjes naar de AVG. In de praktijk lagen persoonsgegevens verspreid over e-mail, chat, gedeelde mappen en formulieren. Er was geen centraal overzicht van sollicitanten. Geen vaste verantwoordelijke voor inzageverzoeken. En ook niemand die wist of we wel binnen dertig dagen konden reageren.
We realiseerden ons dat we het principe van privacy snapten, maar de uitvoering volledig over het hoofd hadden gezien.
Privacy vraagt geen perfecte systemen, maar wel controle
We wilden helemaal geen risico nemen. Maar daar gaat het niet om. Privacy gaat niet over intentie, maar over verantwoordelijkheid. En die moet je kunnen dragen, ook als er ineens een verzoek binnenkomt.
Een simpele toets voor jezelf: zou jij vandaag antwoord kunnen geven op de volgende vragen?
- Welke persoonsgegevens bewaart je organisatie van een betrokkene?
- In welke systemen staan die gegevens?
- Wie heeft er toegang toe?
- Wanneer worden ze verwijderd?
- En hoe regel je dat iemand binnen dertig dagen een compleet en correct antwoord krijgt?
Als je daar “ik denk het wel” op zegt, weet je genoeg.
Wat we zijn gaan doen
We hebben onze processen praktisch ingericht. Geen dikke AVG-handboeken, maar werkbare routines. Elke verwerking is gekoppeld aan een systeem, met een eigenaar. Inzageverzoeken zijn een taak geworden. Met een duidelijk proces, een deadline en een logboek. En we hebben ons team meegenomen, want privacy is nooit alleen een IT-of juridische kwestie. Het zit in het werk van iedereen.
Tot slot
Je merkt pas hoe goed je privacy geregeld is, op het moment dat iemand erom vraagt.
Als je dan kunt zeggen: “Dat proces hebben we. Hier is je antwoord.” Dan is het geen gedoe. Geen paniek, gewoon geregeld.
En als je dat vandaag nog niet kunt zeggen, weet je wat je morgen moet doen.
Nieuwsgierig welk systeem daarbij past?
Lees ook: PIMS of ISMS – wat is het verschil, en wat past bij jouw organisatie?
Geef een reactie