Nieuws
Het beschermen van persoonsgegevens: vanzelfsprekend?!
Veel organisaties worstelen 4 jaar na dato nog altijd met de implementatie van de AVG. Alhoewel het complexificeren van een issue een bewuste management strategie kan zijn, is dit niet aan te raden in het geval van de AVG. Dat dit heel regelmatig wel gebeurt, bewijst de praktijk. Maar gelukkig kan het ook anders!
De AVG
Sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Het doel van de AVG is om betere bescherming van persoonsgegevens te waarborgen. Onder meer door de rechten van betrokkenen beter te beschermen en voorwaarden te stellen aan de verwerking van persoonsgegevens. Organisaties moeten inzichtelijk maken waarom, waarvoor en op welke wijze persoonsgegevens worden verwerkt. Voor een overzicht van een aantal belangrijke onderdelen van de AVG, zie de AVG in een notendop (bron: Autoriteit Persoonsgegevens).
4 jaar na dato
We zijn inmiddels 4 jaar verder en meer dan eens blijkt dat organisaties de gegevensbescherming nog altijd niet op orde hebben. Zij worstelen met het structureel inbedden van de AVG principes binnen de organisatie. Zo is de basisgegevenshuishouding vaak niet goed op orde en zijn verwerkingsregisters niet compleet en actueel. Ook medewerkers zijn lang niet altijd op de hoogte van de do’s & don’ts.
Hoe maak je de AVG principes een vanzelfsprekend onderdeel van de dagelijkse praktijk?
Het antwoord op deze vraag is geen rocket science maar kom ik in de praktijk toch weinig tegen: door de risico’s en (privacy) wetgeving te borgen in de bedrijfsprocessen. Er zijn voldoende checklists in omloop ter ondersteuning van de inrichting van de AVG binnen organisaties. Het probleem is echter dat deze inrichting onvoldoende in samenhang wordt benaderd. Alle door de organisatie gemaakte stappen worden over het algemeen netjes gedocumenteerd en vaak centraal opgeslagen. Maar daarmee is het nog geen onderdeel van de dagelijkse praktijk.
Het blijkt voor medewerkers nog een hele zoektocht om de juiste informatie snel boven water te krijgen wanneer een betrokkene zich bijvoorbeeld beroept op één van zijn rechten ten aanzien van de verwerking van persoonsgegevens of er een vermoeden is van een data lek. Lange stukken met uitgeschreven beleid die ‘ergens’ fysiek of digitaal zijn terug te vinden, zijn onvoldoende bruikbaar voor het merendeel van de organisatie.
Door risico’s en (privacy) wetgeving te borgen in de bedrijfsprocessen en vervolgens te zorgen dat deze processen gecommuniceerd worden, eenvoudig benaderbaar voor een eindgebruiker én aanpasbaar zijn, brengen we risicomanagement en (privacy) wetgeving naar de werkvloer. Pas dan gaan deze onderwerpen leven en wordt o.a. het beschermen van persoonsgegevens vanzelfsprekend.
Ontwerp
Het procesontwerp ten behoeve van het geven van uitvoering aan Privacy Wetgeving, kan er als volgt uit zien (klik op de afbeelding voor een grotere variant in pdf):
Een integrale aanpak
Het integreren van risico’s en (privacy) wetgeving in de processen, zorgt er zo voor dat:
- In het procesontwerp al rekening wordt gehouden met wettelijke kaders of met door de organisatie zelf opgelegde normen (zoals een kwaliteitsnormering of interne richtlijnen);
- De relevante rollen en verantwoordelijkheden transparant zijn aangeduid binnen het procesontwerp;
- Risico-indicatoren per proces(stap) zijn geïdentificeerd waardoor het voor medewerkers zeer transparant wordt wat er op dit gebied per handeling van hen verwacht wordt;
- Risico’s verder worden gereduceerd door procesoptimalisatie en de bijdrage van medewerkers hieraan (continu verbeteren);
Cultuur
Risico’s en privacywetgeving zouden niet uitsluitend een aangelegenheid van het management of van de afdeling risicomanagement moeten zijn. Goed risicomanagement vereist leiderschap, communicatie en bovenal een cultuur waarin ook de medewerkers actief betrokken zijn en zo de doelstellingen van de organisatie bevorderen binnen de wettelijke kaders!
GO Company heeft al diverse bedrijven en instellingen geholpen met het succesvol implementeren van de AVG, zowel in de private als publieke dienstverlening. Heeft u ook behoefte aan een integrale aanpak die leidt tot adoptie van de privacywetgeving bij uw medewerkers? We werken graag een voorstel voor u uit. Neem contact met ons op via info@gocompany.nl of op telefoonnummer 088-2042500.