Spoedcursus duurzame AVG-compliance

26 april 2018

Column geschreven door Shanti Duijvestijn en verschenen op Managementsite 

Binnenkort zal de AVG (Algemene Verordening Gegevensbescherming) definitief de bestaande privacywetgeving vervangen. Hoewel de impact van de verordening verschilt per sector, organisatie of afdeling, is er geen tijd meer voor de vraag óf uw organisatie iets moet doen met de AVG: 25 mei is de verordening daadwerkelijk van kracht en kunnen sancties worden opgelegd door de Autoriteit Persoonsgegevens. Mogelijke gevolgen? Flinke boetes, aansprakelijkheid en imagoschade.

In een notendop betekent de AVG meer verantwoordelijkheden voor organisaties en meer rechten voor de betrokkenen van wie de gegevens zijn. Organisaties worden geacht om transparant te zijn over wat zij met persoonsgegevens doen. Op basis van gedefinieerde grondslagen moet het verwerken van persoonsgegevens geminimaliseerd worden tot een ‘need to have’, in plaats van een ‘nice to have’. Betrokkenen daarentegen krijgen, naast het recht op inzage en correctie van hun persoonsgegevens, nu ook het recht om gegevens te laten verwijderen of overdragen naar andere partijen.

Indien dit nog niet gedaan is, moeten organisaties dus verantwoordelijkheid nemen en zorgen dat zij aan de rechten van betrokkenen kunnen voldoen. Dit vraagt om voldoende mandaat en ‘verandervermogen’ om bestaande verwerkingsprocessen, systemen en gedrag in lijn te brengen met de nieuwe eisen van de AVG.

Hoe is dit op korte termijn te realiseren?

1. Bepaal de aanpak. Omdat de tijd dringt is het voor organisaties belangrijk om te bepalen welke strategie past: welke mate van AVG-compliancy is realistisch, welke eisen zijn op de organisatie van toepassing en op welke punten wordt er al aan voldaan? De AVG stelt, naast de algemene normen als ‘transparantie’ en ‘minimalisatie’, namelijk een aantal ‘harde eisen’ zoals de registratieplicht en de meldplicht datalekken. Daarnaast is een aantal eisen organisatie- of sector specifiek, zoals een Functionaris gegevensbescherming. Deze factoren bepalen grotendeels de impact van het compliant worden en om dit effectief te kunnen realiseren is het stellen van prioriteiten van belang.

2. Inventariseer. Nadat de globale aanpak bepaald is, biedt een inventarisatie van de gegevensverwerkingen een overzicht van de risico’s en aandachtspunten. Door de inventarisatie komt aan het licht welke persoonsgegevens in welk proces verwerkt worden, welke interne en externe partijen inzicht hebben in deze gegevens, wat de bewaar-of verwijdertermijnen zijn, hoe de gegevens beveiligd worden en hoe de betrokkenen hierover geïnformeerd zijn. De inventarisatie van de verwerkingsprocessen-en systemen dient dan ook als input voor het verwerkingsregister, een van de harde eisen van de AVG. De doorlooptijd van de inventarisatie is echter sterk afhankelijk van het inzicht in het datalandschap en het vermogen om de aandachtspunten te vertalen in concrete acties en regels.

3. Implementeer. Na de inventarisatie, zal de daadwerkelijke implementatie van de AVG betrekking hebben op het realiseren van beleid, bijsturing, bewustwording en beheermechanismen. Ten eerste verbindt het beleid de aanpak en de normen die de organisatie op het gebied van privacy hanteert. Aansluitend bij het beleid zullen privacyrichtlijnen voor medewerkers en privacy verklaringen voor betrokkenen moeten worden opgesteld.

Bestaande processen en systemen zullen moeten worden bijgestuurd aan de hand van organisatorische en technische maatregelen. Organisatorische maatregelen omvatten onder andere afspraken over wanneer welke gegevens met wie gedeeld mogen worden, zowel intern als extern. Voor het extern uitbesteden van gegevensverwerkingen worden deze afspraken vastgelegd in een verwerkersovereenkomst. Voorbeelden van technische maatregelen zijn het aanscherpen van beveiligingsmaatregelen of inrichten van (automatische) verwijdertermijnen om grip op data te kunnen blijven houden.

Praktijk lessen

In de praktijk blijkt dat het implementeren van de AVG zelf niet de grootste problemen oplevert, maar dat de complexiteit veroorzaakt wordt door een gebrek aan datamanagement en inzicht in systemen. De AVG is voor veel organisaties een aanleiding om nog eens kritisch te kijken naar de data die zij verzamelen, wie de verantwoordelijkheid draagt over de persoonsgegevens en waar de afhankelijkheden in de keten van verwerkingen zitten. Investeringen in het verkrijgen van inzicht in de afhankelijkheden en het eigenaarschap van systemen zullen in de toekomst de naleving van de AVG versimpelen.

Tot slot zorgen het creëren van bewustwording en het implementeren van beheermechanismen ervoor dat zowel formeel als informeel de eisen van de AVG gewaarborgd blijven binnen de organisatie. Om op korte termijn alle eisen door te voeren vanuit een centraal privacy project blijkt voor veel organisaties niet haalbaar. Het daadwerkelijk beheren van de AVG-eisen en het bewaken van het privacy gedachtegoed ligt uiteindelijk bij de betreffende proces-of producteigenaar. Om naleving van de AVG te bereiken is privacy beleid en het bijsturing van systemen en processen van belang, maar voor langdurig resultaat lijkt het creëren van privacy bewustzijn in de gehele organisatie essentieel.

Of uw organisatie nu al helemaal klaar is voor AVG of nog moet beginnen, de echte uitdaging blijft hoe ervoor te zorgen dat de organisatie ook ná inwerkingtreding de AVG blijft naleven. Prioritering en het inzichtelijk maken van de afhankelijkheden in de keten van processen en systemen zijn daarom cruciaal. Het verankeren van het privacy bewustzijn en de verantwoordelijkheid over de gegevensverwerking in de organisatie zorgt dat privacy na 25 mei niet van de radar verdwijnt.