Op 25 mei 2018 werd de Nederlandse Wet bescherming persoonsgegevens vervangen door de Algemene verordening gegevensbescherming – de AVG –, een aanscherping op de eerdere ‘privacywet’. In deze blog vertelt Imane el Amrani, Data Protection Officer and Quality Manager bij Bureau Fris, hoe wij bij Bureau Fris omgaan met de eisen van de AVG en hoe wij onze klanten en respondenten beschermen.

Toezicht op de toepassing en naleving van de AVG

Bij Bureau Fris gaan we altijd al heel zorgvuldig om met onze data. Sinds de komst van de AVG zijn we daar echter nog alerter op. Zo ben ik aangesteld als functionaris gegevensbescherming. Ik hou in die hoedanigheid toezicht op de toepassing en naleving van de AVG binnen Fris. Het begint allemaal al met het feit dat we alleen data van onze respondenten vragen die relevant zijn voor het onderzoek. Wij verzamelen of delen sowieso nooit gevoelige gegevens zoals ras, medische situatie of nationaliteit, tenzij daar een heel bijzondere en gegronde reden voor is. Ook dan delen we alleen gegevens met de klant als de respondent daar nadrukkelijk toestemming voor heeft gegeven. We delen ook alleen niet-herleidbare gegevens van respondenten, zoals voornaam, leeftijd of woonsituatie, met onze klanten, hoge uitzonderingen daargelaten. Om inzicht te hebben en te houden in welke gegevens wij verwerken, hebben wij een verwerkingsregister opgesteld. Hierin documenteren we welke persoonsgegevens wij verwerken, met welk doel, waar de gegevens vandaan komen en met wie wij ze delen. Zo voldoen wij aan de verantwoordingsplicht van de AVG. Als wij voor een klant met persoonsgegevens aan de slag gaan, bijvoorbeeld als we voor hen klanten uit een klantenbestand benaderen, sluiten wij altijd een verwerkersovereenkomst af. Datzelfde geldt als we herleidbare persoonsgegevens delen met de klant, bijvoorbeeld voor een in-home interview. In de verwerkersovereenkomst staat bijvoorbeeld welke persoonsgegevens verwerkt mogen worden, op welke manier en wat de maximale bewaartermijn hiervan is. Uiteraard voldoet deze verwerkersovereenkomst aan de eisen van de AVG en de MOA. Bij Fris hebben wij deze verwerkersovereenkomst klaarliggen, maar mocht een klant toch liever een eigen overeenkomst gebruiken, is dat geen probleem.

Rechten van de respondenten beschermd

De rechten van de respondenten hebben we heel duidelijk omschreven en naar hen gecommuniceerd. Daarin liggen de voorwaarden vast, maar er staat ook in ook voor welke doeleinden de persoonsgegevens worden verwerkt, wat de rechtsgronden zijn voor verwerking van de persoonsgegeven en hoe wij omgaan met het eventueel delen van die persoonsgegevens. Respondenten hebben te allen tijde het recht op inzage van hun gegevens, het recht op rectificatie en aanvulling én het recht op vergetelheid, dan moeten we de gegevens wissen. De respondenten moeten ook duidelijk akkoord gaan met onze voorwaarden. Het is niet meer zo dat als iemand geen bezwaar maakt, hij of zij dan automatisch akkoord gaat.

Scherp op datalekken

We zijn ook heel scherp op datalekken. In zijn blog vertelde Erik Groot, directeur van Ronin-ICT, onze ICT-partner, al hoe we dat op IT-gebied doen, maar we gaan veel verder dan dat. Bezoekers moeten zich altijd aanmelden voor ze ons pand binnenkomen. Onze computers hebben schermvergrendeling en we hanteren een cleandeskbeleid. Dat checken we dagelijks twee keer. Degene die als eerste binnenkomt kijkt of er niet toch per ongeluk een post-it of memo is blijven slingeren en of er nog ergens een computer is aan blijven staan, de collega die als laatste weggaat doet dat opnieuw. Als we opnames delen met klanten, doen we dat niet op een usb-stick, maar gaat dat via onze beveiligde cloudomgeving.

Bewustwording heel belangrijk

Ook bewustwording van ons eigen personeel is heel belangrijk. Toen de AVG inging, heb ik mijn collega’s getraind om om te gaan met de nieuwe privacyregels. Zo konden zij adequaat inschatten wat de impact van de AVG was op hun werkzaamheden en passende maatregelen nemen. Dat is inmiddels een continu proces. Om de zoveel tijd geven we weer een presentatie om die bewustwording te stimuleren. Het is ook prettig voor mijn collega’s dat ik er ben als functionaris gegevensbescherming. Hierdoor kunnen de accountmanagers zich focussen op de projecten en kan ik hen het stuk rondom privacy en datasecurity uit handen nemen. Dat is niet alleen belangrijk als er onverhoopt toch een keer iets misgaat, maar ik kan ook dienen als vraagbaak.

Niet relevant voor onderzoek? Niet accepteren

Als we gegevens ontvangen van klanten, zijn we ook heel kritisch. Ontvangen we bestanden waarin meer informatie staat dan noodzakelijk voor het doel, dat vernietigen we die of sturen het retour. Stel: we doen een onderzoek voor een bank onder mensen die langer dan zes maanden een hypotheek hebben en we krijgen ook gegevens over wie van deze mensen een leaseauto bezit, dan vernietigen we dit bestand en vragen we om een nieuwe. Zo houden we op alle vlakken rekening met de AVG en zijn onze klanten en respondenten – én natuurlijk onze eigen collega’s – optimaal beschermd. Wil je meer weten over hoe wij de kwaliteit waarborgen in het recruitmentproces? Bekijk dan ons document ‘Panel Quality Control’.

Meer weten?

Heb je nog vragen over hoe wij bij Fris omgaan met de AVG, neem dan gerust contact met Imane op. Wil je je onderzoek door Bureau Fris laten faciliteren, online of offline? Neem gerust vrijblijvend contact met Stephanie Groot op. Ze vertelt je er graag alles over.