Deze 5 stappen helpen uw organisatie AVG-proof te maken

07 februari 2018

Column verschenen op Managementimpact en geschreven door Shanti Duijvestijn

Dat uw organisatie íets moet met de aankomende AVG (Algemene Verordening Gegevensbescherming) is een gegeven. Maar wát er precies moet gebeuren, blijkt voor veel organisaties lastig in te schatten.

De impact van de verordening verschilt per sector, organisatie of afdeling en de eisen die gesteld worden, bieden geen duidelijke handvatten voor de vervolgstappen. Ondanks deze onduidelijkheid is er geen tijd om van de zijlijn toe te kijken en te bedenken of uw organisatie überhaupt wel iets moet doen met de AVG: vanaf 25 mei is de verordening daadwerkelijk van kracht en kunnen sancties worden opgelegd door het toezichthoudende orgaan, de Autoriteit Persoonsgegevens. Een forse boete van maximaal 20 miljoen euro of 4% van de jaaromzet, is bij niet naleving van de AVG het mogelijke gevolg. In dit artikel zal kort ingegaan worden op de belangrijkste keuzes, de te nemen stappen en benodigde maatregelen om voor 25 mei niet alleen compliant te zijn, maar dit ook na de inwerkingtreding van de AVG te blijven.

De AVG in het kort
De AVG is een onderdeel van de Europese GDPR (General Data Protection Regulation) en zal dit jaar definitief de bestaande Wet Bescherming Persoonsgegevens (WBP) vervangen. Het doel van de AVG is onder andere het beter kunnen beschermen van persoonsgegevens van burgers van de Europese Unie. Kenmerkend voor de AVG zijn begrippen zoals transparantie, minimalisatie en doelbinding. Organisaties worden geacht transparant te zijn over welke persoonsgegevens worden verwerkt, op welke manier en door wie. Daarnaast moet de verwerking van persoonsgegevens geminimaliseerd worden en moet voor iedere verwerking een passende en wettelijk gerechtvaardigde reden zijn.

Stap 1: stel een centrale entiteit aan

Aangezien het doorvoeren van de privacyregelgeving bij veel organisaties geen directe verantwoordelijkheid binnen één specifieke afdeling of onderdeel kent, is het aanstellen van een centrale entiteit die het project oppakt en beheerst, gewenst. Afhankelijk van de grootte en complexiteit van de organisatie kan zo een ‘Privacy Officer’ te werk gaan als eenpitter of kan de inschakeling van een specifieke projectmanager noodzakelijk zijn. Vereisten zijn het inzicht in zowel de juridische aspecten, als de kennis van de interne processen en de geautomatiseerde systemen. Daarnaast moeten deze rollen voldoende mandaat en ‘verandervermogen’ hebben om de veranderingen daadwerkelijk door te voeren.

Stap 2: Ontwikkel een privacy visie en strategie

Nadat er invulling gegeven is aan deze rollen is het van belang om een duidelijke privacy visie en strategie te ontwikkelen. Er moet namelijk worden bepaald welke mate van AVG-compliancy realistisch is, welke strategie bij de organisatie past en hoe hier op korte termijn invulling aan kan worden gegeven. Daarnaast is er een aantal afwegingen die vanuit wettelijk oogpunt genomen moeten worden: is het voor de organisatie verplicht om een Functionaris Gegevensbescherming aan te stellen? Heeft het nut om  een verzekering af te sluiten om het risico van niet naleving van de verordening te dekken? En is de registratieplicht op de organisatie van toepassing?

Stap 3: Identificeer de processen die onder de AVG vallen

Een inventarisatie van de processen zal de organisatie inzicht moeten geven in de noodzakelijke stappen om daadwerkelijk compliant te worden. Identificeer de processen waarin persoonsgegevens verwerkt worden, zoals de medewerker gegevens bij de HR-afdeling of de persoonsgegevens van relaties die gebruikt worden voor externe communicatie. Maar ook het verzamelen van klantgegevens en het inhuren van externe medewerkers zijn verwerkingsprocessen van persoonsgegevens die in acht moeten worden genomen. Het in kaart brengen van de processen en systemen waarin persoonsgegevens verwerkt worden dient als een nulmeting. Door de inventarisatie zal aan het licht moeten komen welke persoonsgegevens in welk proces verwerkt worden, wie zowel intern als extern inzicht hebben in deze gegevens, wat de bewaar-of verwijdertermijnen zijn, hoe de gegevens beveiligd worden en hoe de betrokkene hierover geïnformeerd wordt.

Stap 4: Bepaal de te nemen stappen om de organisatie AVG-proof te maken

Wanneer er een overzicht is van de aandachtspunten waarop de organisatie nog niet voldoet aan de AVG, kan worden bepaald wat de impact en doorlooptijd van het realiseren van compliancy zal zijn en kunnen de stappen ondernomen worden om de organisatie daadwerkelijk AVG-proof te maken. In hoofdlijnen zijn de vier B’s hierop van toepassing, namelijk het inrichten van: Beleid, Bijsturing, Bewustwording en Beheer omtrent de AVG in de organisatie. Het beleid licht de algemene visie en opgestelde richtlijnen in het kader van de AVG toe en is tevens het uitgangspunt voor het daadwerkelijk bijsturen van de systemen en processen. Concrete voorbeelden van bijsturing zijn het aanscherpen van beveiligingsmaatregelen of inrichten van (automatische) verwijdertermijnen. Maar ook inrichten van mechanismen om te kunnen voorzien in  de aangescherpte rechten van betrokkenen behoren tot de eisen van de AVG. Daarnaast zullen voor het intern en extern doorgeven van persoonsgegevens afspraken gemaakt moeten worden over wat wel en niet geoorloofd is. Voor het doorgeven van gegevens aan derden buiten de organisatie zal een verwerkersovereenkomst opgesteld worden die beide partijen gezamenlijk moeten afstemmen. Het transparant informeren over de manier waarop de organisatie met persoonsgegevens omgaat en het hebben van een juridisch gegronde reden voor de verwerking (grondslagen) zijn hierbij ten alle tijden van belang. Tot slot zorgt het creëren van bewustwording en beheermechanismen ervoor dat zowel formeel als informeel de eisen van de AVG gewaarborgd worden binnen de organisatie.

Stap 5: Zorg ervoor dat de organisatie blijft voldoen aan de AVG

Op 25 mei, wanneer de geïdentificeerde aandachtspunten voor de organisatie met behulp van de 4 B’s in lijn zijn gebracht met de verwachtingen van de AVG, start een nieuwe uitdaging: hoe zorg je er voor dat de organisatie ook ná de inwerkingtreding de AVG naleeft en alle moeite niet voor niets is geweest? Blijf een centraal aanspreekpunt houden, ook na het afronden van het project, zodat mandaat en urgentie aanwezig blijft en medewerkers terecht kunnen met vragen en onzekerheden. Zorg voor een volledig en gebruiksvriendelijk registratieregister om de processen na de inventarisatie inzichtelijk te houden en delegeer deze verantwoordelijkheid in de organisatie, zodat bewustzijn niet alleen bij de managementlagen maar ook op de vloer aanwezig is.

Dus, als u denkt de AVG: wat moet ik er mee? De conclusie is simpel: in ieder geval iets! Stel de juiste mensen aan, inventariseer de verwerkingsprocessen, bepaal de impact en de te nemen stappen om niet alleen compliant te worden maar dit in de toekomst ook te blijven. Implementeer daarom zowel organisatorische en technische maatregelen maar creëer vooral bewustzijn bij medewerkers omdat het onmogelijk en onwerkbaar is om alles formeel te regelen. De mensen in de organisatie moeten zelf alert worden op de do’s en dont’s van de AVG en elkaar hier op wijzen. Tot slot, en misschien wel het aller belangrijkste: verwerk niet meer gegevens dan strikt noodzakelijk, want over gegevens die u niet verwerkt, hoeft ook geen verantwoording afgedragen te worden!