Organisaties worden ten tijde van de coronacrisis voor moeilijke keuzes gesteld. Dit zien wij ook bij onze klanten terug. Hoe garandeer je enerzijds de continuïteit van je bedrijfsvoering, terwijl je anderzijds ook zorgt voor de juiste privacy afwegingen?
De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, zegt in een recent persbericht dat privacy belangrijk is. Maar daarbij stelt hij ook dat de prioriteit ligt bij de bestrijding van het coronavirus en het voorkomen van grote schade aan economie en maatschappij. Hij zegt: ‘Daar gaan wij niet bij staan met onze vinger omhoog en de privacywetgeving onder de arm’. Hij benoemt expliciet dat privacy wel heel belangrijk blijft, ook in tijden van crisis. Kortom, ook in coronatijd zul je als organisatie, bij het nemen van maatregelen, na moeten blijven denken over de privacy consequenties voor jouw medewerkers en/of klanten.
Hoe geef je hier in de praktijk invulling aan? Bedrijfscontinuïteitsplannen geven vaak geen antwoord op deze vraag. Er zijn eigenlijk 4 stappen om de bedrijfscontinuïteit niet in gevaar te brengen én de privacy van medewerkers en klanten te beschermen. Wanneer je deze stappen volgt, borg je dat er een balans zitten tussen de belangen voor bedrijfcontinuïteit en privacybelangen. De stappen worden hieronder toegelicht.
Stap 1: Betreft het een crisismaatregel of is het reguliere bedrijfsvoering?
Eerst zal vastgesteld moeten worden of de maatregel, project of activiteit (crisismaatregel) noodzakelijk is in het kader van de coronacrisis. Immers, wanneer het om reguliere bedrijfsvoering gaat is er geen sprake van crisismaatregelen en is de afweging tussen bedrijfscontinuïteit en privacy in deze context niet relevant. Gaat het om een crisismaatregel (in de context van de coronacrisis), ga dan naar stap 2. Volg anders het reguliere bedrijfsproces.
Stap 2: Belangenafweging bedrijfscontinuïteit versus privacy:
Het is belangrijk om de mogelijke privacyrisico’s van crisismaatregelen in beeld te brengen. Levert de crisismaatregel privacyrisico’s op? Kijk dan eerst met de juiste expertise of er een alternatief mogelijk is of dat je aanvullende maatregelen kunt nemen om de privacy beter te beschermen. Is een corona-app echt een oplossing voor het verspreidingsprobleem van het virus? Heb je echt locatiegegevens van individuen nodig om de corona-app te gebruiken of kan het ook anoniem? Zou de organisatie deze verwerking onder normale omstandigheden ook starten? Misschien wordt het eigen privacybeleid wel overtreden? Allemaal vragen die je in deze stap zou moeten stellen. Kortom, maak dan een risicoafweging met als centrale vraag: vinden wij de inbreuk die wij op de privacy maken gerechtvaardigd in het kader van het nemen van de crisismaatregelen? Maak je de keuze om de crisismaatregel te nemen, ga dan naar stap 3. Zo niet, dan heb je dus een andere afweging gemaakt en neem je de crisismaatregel niet.
Stap 3: Richt een audittrail in
Onderbouw voor de tijdelijke crisismaatregel waarom deze is genomen, welke persoonsgegevens worden verwerkt voor welke doelen e.d. Houdt ook bij waarom bepaalde risico’s in dit geval geïdentificeerd zijn en waarom deze geaccepteerd zijn. Zorg dat de afwegingen worden vastgelegd en dat de verwerking opgenomen wordt in het verwerkingsregister. Bepaal bij een hoge risicoacceptatie een houdbaarheid voor de maatregelen en werk een plan uit om deze maatregelen weer terug te draaien. Denk hierbij ook aan het afscheiden van de verwerking van het normale bedrijfsvoeringsproces. Gebruik bijvoorbeeld een apart systeem, aparte opslag en maak geen koppelingen naar andere systemen. Zo kun je ook, nadat de crisismaatregel wordt ingetrokken, eenvoudiger zaken stoppen. Zorg tot slot dat je transparant communiceert over de tijdelijke maatregelen.
Stap 4: Nazorg
Als de crisis het toelaat, draai dan de crisismaatregelen terug. Stop met de verwerking en verwijder de data indien mogelijk, conform geldende bewaartermijnen of het principe van dataminimalisatie. En bovenal: evalueer! Welke lessen heb je geleerd en hoe kun je dit borgen in je bedrijfscontinuïteitsplannen en in je reguliere bedrijfsvoering?
Heeft u hulp nodig van een expert? Neem dan contact met ons op.