In 2018 stond Privacy Compliance hoog op de agenda. Velen dachten met een enkel project te voldoen aan de regels van de AVG. Compliance is echter geen eenmalig project; het voldoen aan de regelgeving vraagt om een continu proces van toetsen en verbeteren. Daarom biedt Privacy Compliance juist kansen.
Velen zijn gestart met AVG…
Bij de harmonisatie van de bescherming van privacy heeft de EU het toezicht geüniformeerd en tegelijk gegevensverwerkende organisaties zelf een grote(re) verantwoordelijkheid gegeven bij de uitvoering en controle. De meesten zijn dan ook zelf aan de slag gegaan met het implementeren van de AVG. Zo zijn privacyverklaringen op websites geplaatst, privacy-afspraken en verwerkersovereenkomsten met leveranciers afgesloten en veel (onnodige) e-mails over de AVG verstuurd naar klanten en niet-klanten. Dit is een goed begin, maar biedt geen basis om blijvend te voldoen aan de wettelijke eisen van de AVG.
…en sommigen zijn verder gegaan
Met name grotere organisaties hebben inmiddels een geaccordeerd privacybeleid en een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) aangesteld. In de meeste gevallen ondersteund door een AVG-team. Er is een aanzet tot een verwerkingsregister gemaakt (vaak in Excel). Dan rijst vervolgens de vraag: wat het doel van deze administratie? Is het alleen een registratie om de registratie? Of kan het verwerkingsregister ook nuttig ingezet worden? Bijvoorbeeld als kapstok voor het coördineren van de wettelijk verplichte passende technische en organisatorische beschermingsmaatregelen zoals genoemd in artikel 32 AVG. Is een organisatie alleen gestart met deze registratie, dan laten ze veel liggen. AVG-beheer is een praktisch instrument om de kwaliteit van je gegevens te verhogen.
AVG is meer dan ICT
‘De bescherming van persoonsgegevens is vooral een ICT-vraagstuk’ is een veelgehoorde stelling. Terwijl een klein deel van de datalekken ICT-oorzaken hebben. Juist ICT-processen en medewerkers zijn gewend om te werken met releases, testen en controles – al ontbreekt nog wel eens juiste documentatie. De AVG heeft vooral impact op de primaire processen en de communicatie van een organisatie; welke gegevens worden verzameld en wat doet men ermee? Medewerkers moeten zelf goed geïnformeerd worden en zo nodig getraind (awareness), betrokkenen beter geïnformeerd, en in elke gevallen processen aangepast om tot een hoger kwaliteitsniveau te komen. Het voldoen aan de AVG vraagt dus niet alleen om betrokkenheid van de ICT-afdeling, maar ook om betrokkenheid in de lijn.
Professionalisering door specifieke doelen en taken
In veel gevallen zijn de processen waarin persoonsgegevens worden verwerkt niet even scherp in beeld. Medewerkers zijn zich dan niet bewust dat er veel mogelijkheden zijn om de bescherming van persoonsgegevens te verbeteren. Het creëren van een duidelijk overzicht, zoals het verwerkingsregister, zal meer inzicht geven. Het helpt dan ook om het AVG-beleid uit te drukken in doelstellingen met een duidelijke interne rolverdeling. Wie werkt met gegevens en welke beschermingsmaatregelen zijn gewenst? De AVG kijkt daarbij niet alleen naar technische maatregelen, zoals verwoord in Informatiebeveiligingsnormen, maar ook naar praktische zaken zoals het informeren van betrokkenen en het – verplicht – melden van datalekken. Een duurzaam AVG-beheer stelt de verantwoordelijken aan, benoemt de taken en zorgt voor periodieke controle en toezicht.
Tools voor ondersteuning privacy
Door de complexiteit van de verzamelde gegevens, die vaak verspreid zijn over meerdere systemen en leveranciers, zijn geautomatiseerde instrumenten steeds belangrijker om te komen tot duurzaam privacybeheer. Hier speelt een beheertool als TrustBound GRC een rol. Met de inzet van PCC gaat een organisatie van een eenmalig complianceproject naar een doorlopend programma voor privacybeheer, dat de verantwoordelijke bestuurder helpt om de bescherming van persoonsgegevens blijvend te monitoren. PCC is ontwikkeld op drie pijlers: administratie als basis voor beheer, risico gestuurd werken als basis voor kwaliteit en een duidelijke rolverdeling op drie niveaus.
Administratie als basis voor beheer
Het opstellen van een register van verwerkingen is voor de meeste organisaties verplicht. In dit register staat informatie over de persoonsgegevens die de organisatie verwerkt; het bevat in ieder geval een overzicht van alle gegevens in de systemen van de onderneming. Aan de verwerking van deze gegevens zijn wettelijke voorwaarden verbonden. Een organisatie moet kunnen aantonen dat de verwerkingen aan de belangrijkste beginselen voldoet zoals rechtmatigheid, transparantie, doelbinding en juistheid. Processen moet voldoende gedocumenteerd zijn en het moet duidelijk zijn wie verantwoordelijk zijn voor zaken als bewaartermijnen en het informeren van betrokkenen. Indien de verwerking door een derde wordt uitgevoerd, moet er een verwerkersovereenkomst afgesloten worden. Het is dus zaak een actueel overzicht van de afspraken met leveranciers te hebben. Samengevat is het register van verwerkingen de vastlegging van steeds wisselende processen, systemen en gegevens. Deze dynamiek vraagt om de inzet van een gebruikersvriendelijke werkomgeving.
Risicogestuurd werken als basis voor kwaliteit
De AVG is ingericht met bestaande kwaliteitsstandaarden in gedachte. Zo zijn er duidelijk elementen uit de informatiebeveiligingsnorm ISO 27001 te herkennen: naast een sluitend privacybeleid dient er een goed beheerproces te worden ingericht. De ‘Deming cyclus’, bekend van de stappen Plan, Do, Check, Act (PDCA), is de bekende methode om de controle binnen de organisatie te houden en processen te verbeteren. Risicoanalyse wordt ingezet voor het identificeren en prioriteren van de beheersmaatregelen en de maatregelen worden gekoppeld aan duidelijke controles om het toezicht te organiseren. Zo beschouwd is de AVG een wettelijke kwaliteitsnorm, die de organisatie zelf kan invullen en is het register de kapstok die risico’s en maatregelen koppelt aan de juiste processen en personen.
Duidelijke rolverdeling op drie niveaus
Een duurzaam beleid is effectief als de verantwoordelijkheden en taken rond AVG op drie niveaus ingericht zijn. In de lijn zijn het Privacy-Medewerkers – of functioneel beheerders – die activiteiten waarin persoonsgegevens verwerkt worden het beste kennen. Zij kunnen aangeven waar voor de organisatie kansen liggen om beter aan te sluiten bij de eisen die AVG stelt. Denk hierbij aan maatregelen om minder gegevens te verzamelen, deze beter af te schermen, of de betrokkene duidelijker te informeren. De Privacy Professional – of Functionaris Gegevensbescherming eventueel geholpen door de Privacy Officers – is degene die deze maatregelen overziet en begeleidt tot een haalbaar ontwikkelplan, waarop toezicht gehouden kan worden. Het management tenslotte, is eindverantwoordelijk en wil te allen tijde de stand van zaken en voortgang kunnen monitoren en beslissingen nemen. Voor hen is belangrijk: welke prioriteit hebben deze maatregelen en wat gaat dat kosten in termen van tijd en geld?
Kwaliteit en hergebruik
AVG en persoonsgegevensbescherming staan niet op zichzelf en hebben vaak een relatie met andere kwaliteitsnormen binnen een domein. Bovengenoemd is ISO 27001, en specifieker zijn er bijvoorbeeld NEN7510 voor de Zorg, BIO voor de Overheid en de Toetsingskaders van Kennisnet voor het Onderwijs. Afstemming met deze kwaliteitssystemen bieden een kans om bij de AVG implementatie een dubbelslag te slaan en tegelijk toenadering te zoeken richten deze normen. Daarnaast komen er steeds meer standaarden beschikbaar: VNG publiceerde al een voorbeeldregister en tezamen met ons netwerk ben ik betrokken bij de (door)ontwikkeling van templates voor alle bovengenoemde sectoren. De gedachte hierbij; de beschrijving van verwerkingen levert op zichzelf geen concurrerend voordeel op en dus graag gedeeld worden.
Efficiëntie en continuïteit
Het duurzaam implementeren van AVG biedt dus ruime kansen om concurrent voordeel te behalen. Wees je bewust van de (persoons)gegevens in de organisatie en stuur op het verzamelen van minder gegevens, het onderhoud van datasets en het beter informeren van klanten en medewerkers. Verlaag de risico’s door het benoemen van verantwoordelijkheden, het nemen van beschermingsmaatregelen en maken van duidelijke afspraken met derden. Benut de voordelen van bestaande kwaliteitssystemen en best practises en verbeter de organisatie via een periodieke risicoanalyse en sectorspecifieke normenkaders. Goede GRC-tooling vertaalt deze kansen naar duidelijke operationele taken en rapportage op resultaat.
Dit artikel is gesponsord door TrustBound GRC
Auteur: Arjaan Kunst
Volg Security Management op LinkedIn