Op 25 mei 2018 moet ieder bedrijf en iedere overheidsinstantie in Europa voldoen aan de nieuwe Europese Algemene Privacy Verordening (AVG). Ook in de asbestbranche betekent dit extra waakzaamheid.
In alle asbestbedrijven worden digitaal veel gegevens verzameld en verwerkt: van gegevens over de opdrachtgever en de te saneren locatie tot aan gegevens van de werknemers die het werk uitvoeren. De certificatieschema’s voor asbestinventarisatie en asbestverwijdering zijn onlangs aangepast en samengevoegd. Per 1 maart 2017 zal de invoering van het Landelijk Asbest Volgsysteem (LAVS) verplicht zijn en dat betekent dat de druk groter wordt om nog meer te registreren en te rapporteren met alle risico’s van dien.
Menselijke fouten
Datalekken komen zeer regelmatig voor, ongetwijfeld ook bij asbestbedrijven. Gebeurt dat, dan is het bedrijf verplicht om het datalek binnen 72 uur aan de Autoriteit Persoonsgegevens te melden. In de praktijk bestaan er veel misverstanden over datalekken. Zo wordt vaak gedacht dat het ICT- systeem niet goed functioneert of dat er gehackt is, terwijl het meestal om menselijke fouten gaat. Zo kan het laten rondslingeren van dossiers of het kwijtraken van een laptop met informatie over een inventarisatie of een sanering en daaraan gekoppelde persoonsgegevens een stevig datalek opleveren. Dat moet een bedrijf proberen te voorkomen, en dan vooral door werknemers bewust te maken van de risico’s.
Hoge boetes
Nederlandse bedrijven moeten al vanaf januari 2016 datalekken melden in een register en een procedure hebben hoe ze met datalekken omgaan, inclusief communicatieplan. Uit onderzoek blijkt dat nog geen 60% van de bedrijven de nu al geldende regels voor het melden van datalekken heeft ingevoerd. Dat betekent dat 40% van de bedrijven boetes riskeren tot 820.000 euro. Die boetes kunnen vanaf mei 2018 zelfs oplopen tot twintig miljoen euro of 4% van de jaaromzet.
Het is verstandig om in het zicht van mei 2018 nu al maatregelen te nemen en niet te wachten op controlerende instanties of schadeclaims van derden. Maar hoe voldoe je nu aan de Algemene Verordening Gegevensbescherming? Wanneer ben je eigenlijk privacyproof? En waar begin je mee? Zijn het de juridische aspecten of toch ook het ICT systeem waarmee persoonsgegevens worden verwerkt?
Voor meer informatie: Organisaties slecht voorbereid op nieuwe privacywetgeving
