Wij zijn klaar voor de GDPR

2017 en het begin van 2018 stonden in het teken van het implementeren van de AVG (GDPR) in onze organisatie. Toen de lente doorbrak werd heel Nederland geconfronteerd met berichten over de General Data Protection Regulation, in Nederland de Algemene Verordening Gegevensbescherming. Privacy is een gemeengoed waar wij vierkant achter staan. Ondanks het feit dat wij geen Facebook of Google zijn als het gaat om het verwerken van data hebben wij ook te maken met de AVG. Immers, wij verwerken ook gegevens.

Nog even kort waarom de Algemene Verordening Gegevensbescherming ontworpen is.
De AVG is van toepassing op alle lidstaten van de EU en EEA per 25 mei 2018. Het vervangt de huidige wetgeving rondom privacy voor de betrokkenen. Iedere organisatie die persoonsgegevens verwerkt, wordt verplicht tot het in detail bijhouden van de verwerking, zorg dragen dat dit volgens de wet gebeurt, het documenteren van voldoende dekkende procedures, het voorzien in informatie rondom beveiligingsmaatregelen, en tot slot de vaststelling dat juiste verwerkersovereenkomsten worden gehanteerd. Zo ook OSH. Dankzij de AVG wordt het voor ons duidelijker wat wij moeten doen om de rechten van natuurlijke personen te waarborgen.

OSH als Controller
Wij verwerken gegevens van contactpersonen, medewerkers en bezoekers van onze website. Om te kunnen voldoen aan de wettelijke vereisten willen wij rondom de privacy wetgeving zo transparant mogelijk naar buiten toe treden. Daarom zal de focus ook blijven liggen op het beter inzichtelijk maken van de gegevens die wij hebben (verzameld). Hiermee stellen wij contactpersonen en onze medewerkers in staat te begrijpen waarom, wat, wanneer en hoe hun persoonlijke gegevens worden verwerkt en geven we eveneens de mogelijkheid om hen inzage te geven in deze gegevens.

Als Controller, documenteren wij onze verwerkingsactiviteiten in een register waarin we beschrijven waarom, hoe en wanneer we persoonlijke data verwerken. Dit gebeurt onder toezicht van de daarvoor aangewezen Data Protection Officer.
Hoe ziet dat er uit in de praktijk?
Wij willen dat OSH zowel ‘privacy by design’ als ‘privacy by default’ is. Simpel gezegd houdt dat in dat we bij het ontwerpen van nieuwe functies zorgen voor minimale verzameling en optimale bescherming van gegevens en privacy-instellingen voor elke gebruiker standaard op het hoogste niveau staan. We willen de plekken waar we gegevens verzamelen zo simpel mogelijk houden, zonder poespas.
Doordat wij gebruik maken van tools zoals Google Analytics en Social Media plugins op onze website worden er cookies geplaatst op onze website om de bijhorende informatieverwerking mogelijk te maken. Google Analytics zorgt bijvoorbeeld voor het aanleveren van informatie over de tijd dat bezoekers op onze website doorbrengen of de specifieke pagina’s die worden bezocht te koppelen aan een land van herkomst van het bezoek. Ook het gebruik van Pardot, het marketing automation platform dat wij gebruiken, draagt hier aan bij. Wij stellen anonieme profielen op van bezoekers om bijvoorbeeld klikgedrag in kaart te brengen.

Om die reden hebben wij diverse wijzigingen aan de website doorgevoerd waar je als bezoeker van profiteert. Zo hebben we het aantal plugins weten te verminderen waardoor wij het aantal third parties, waarmee we informatie delen, tot een minimum hebben teruggebracht.
Daarnaast hanteren wij een scherp intern beleid. Information security is iets wat we al erg serieus nemen, maar we hebben dankzij de GDPR toch nog wat verbeterpunten gevonden. Zo hebben we aanpassingen gedaan aan onze interne sollicitatieprocedure zodat cv’s niet zonder reden in ons bezit blijven. Daarnaast hebben we scherp gekeken naar de informatie die wij écht nodig hebben van sollicitanten. We verzamelen alleen informatie die we echt nodig hebben om een goed beeld te scheppen van een sollicitant.
Om bezoekers van onze website of klanten van OSH makkelijk te voorzien van de informatie die wij over hen hebben verzameld, hebben wij een overzichtelijk register opgesteld. Wanneer je een verzoek indient om inzage te krijgen in je gegevens of wanneer je deze wilt wijzigen kunnen wij binnen de daarvoor gestelde tijd (4 weken) reageren. Op dit inzage recht gelden allerhande regels die de Autoriteit Persoonsgegevens duidelijk heeft geformuleerd op hun website.

Wij streven er naar om het zo duidelijk mogelijk te maken wat wij doen met verzamelde persoonsgegevens. Mocht er toch iets nog niet helemaal duidelijk zijn dan kun je via service@osh.nl in contact komen met onze Data Protection Officer.

Vragen over ons security beleid?
De afgelopen tijd ging het in de media veelvuldig over security en privacy en met name de GDPR (General Data Protection Regulation) ofwel de AVG (Algemene Verordening Gegevensbescherming). Het kan natuurlijk zijn dat je zelf met vragen zit met betrekking tot ons security beleid. Je kunt op diverse manieren in contact komen met ons. Via service@osh.nl kun je vragen stellen met betrekking tot security en privacy. Wij proberen daar zo snel mogelijk op terug te komen met het juiste antwoord. Gezien het belang van het beschermen van jouw persoonsgegevens hebben wij een specifieke mailbox voor onze Data Protection Officer (DPO) opgericht.

Security en privacy gaan hand in hand in onze dagelijkse manier van werken en staan daarom hoog bij ons in het vaandel.