Nieuws

Het beschermen van persoonsgegevens: vanzelfsprekend?!

Geschreven door: Martine van Nuenen Datum: 27-06-2022 Tag: Blog

Veel or­ga­ni­sa­ties wor­ste­len 4 jaar na da­to nog al­tijd met de im­ple­men­ta­tie van de AVG. Al­hoe­wel het complexificeren  van een is­sue een be­wus­te management strategie kan zijn, is dit niet aan te ra­den in het ge­val van de AVG. Dat dit heel re­gel­ma­tig wel ge­beurt, be­wijst de prak­tijk. Maar ge­luk­kig kan het ook an­ders!

De AVG

Sinds 25 mei 2018 geldt in de hele EU dezelfde privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Het doel van de AVG is om betere bescherming van persoonsgegevens te waarborgen. Onder meer door de rechten van betrokkenen beter te beschermen en voorwaarden te stellen aan de verwerking van persoonsgegevens. Organisaties moeten inzichtelijk maken waarom, waarvoor en op welke wijze persoonsgegevens worden verwerkt. Voor een overzicht van een aantal belangrijke onderdelen van de AVG, zie de AVG in een notendop (bron: Autoriteit Persoonsgegevens).

4 jaar na dato

We zijn inmiddels 4 jaar verder en meer dan eens blijkt dat organisaties de gegevensbescherming nog altijd niet op orde hebben. Zij worstelen met het structureel inbedden van de AVG principes binnen de organisatie. Zo is de basisgegevenshuishouding vaak niet goed op orde en zijn verwerkingsregisters niet compleet en actueel. Ook medewerkers zijn lang niet altijd op de hoogte van de do’s & don’ts.

Hoe maak je de AVG principes een vanzelfsprekend onderdeel van de dagelijkse praktijk?

Het antwoord op deze vraag is geen rocket science maar kom ik in de praktijk toch weinig tegen: door de risico’s en (privacy) wetgeving te borgen in de bedrijfsprocessen. Er zijn voldoende checklists in omloop ter ondersteuning van de inrichting van de AVG binnen organisaties. Het probleem is echter dat deze inrichting onvoldoende in samenhang wordt benaderd. Alle door de organisatie gemaakte stappen worden over het algemeen netjes gedocumenteerd en vaak centraal opgeslagen. Maar daarmee is het nog geen onderdeel van de dagelijkse praktijk.

Het blijkt voor medewerkers nog een hele zoektocht om de juiste informatie snel boven water te krijgen wanneer een betrokkene zich bijvoorbeeld beroept op één van zijn rechten ten aanzien van de verwerking van persoonsgegevens of er een vermoeden is van een data lek. Lange stukken met uitgeschreven beleid die ‘ergens’ fysiek of digitaal zijn terug te vinden, zijn onvoldoende bruikbaar voor het merendeel van de organisatie.

Door risico’s en (privacy) wetgeving te borgen in de bedrijfsprocessen en vervolgens te zorgen dat deze processen gecommuniceerd worden, eenvoudig benaderbaar voor een eindgebruiker én aanpasbaar zijn, brengen we risicomanagement en (privacy) wetgeving naar de werkvloer. Pas dan gaan deze onderwerpen leven en wordt o.a. het beschermen van persoonsgegevens vanzelfsprekend.

Ontwerp

Het procesontwerp ten behoeve van het geven van uitvoering aan Privacy Wetgeving, kan er als volgt uit zien (klik op de afbeelding voor een grotere variant in pdf):

Een integrale aanpak

Het integreren van risico’s en (privacy) wetgeving in de processen, zorgt er zo voor dat:

• In het procesontwerp al rekening wordt gehouden met wettelijke kaders of met door de organisatie zelf opgelegde normen (zoals een kwaliteitsnormering of interne richtlijnen);
• De relevante rollen en verantwoordelijkheden transparant zijn aangeduid binnen het procesontwerp;
• Risico-indicatoren per proces(stap) zijn geïdentificeerd waardoor het voor medewerkers zeer transparant wordt wat er op dit gebied per handeling van hen verwacht wordt;
• Risico’s verder worden gereduceerd door procesoptimalisatie en de bijdrage van medewerkers hieraan (continu verbeteren);

Cultuur

Risico’s en privacywetgeving zouden niet uitsluitend een aangelegenheid van het management of van de afdeling risicomanagement moeten zijn. Goed risicomanagement vereist leiderschap, communicatie en bovenal een cultuur waarin ook de medewerkers actief betrokken zijn en zo de doelstellingen van de organisatie bevorderen binnen de wettelijke kaders!

GO Company heeft al diverse bedrijven en instellingen geholpen met het succesvol implementeren van de AVG, zowel in de private als publieke dienstverlening. Heeft u ook behoefte aan een integrale aanpak die leidt tot adoptie van de privacywetgeving bij uw medewerkers? We werken graag een voorstel voor u uit. Neem contact met ons op via info@gocompany.nl of op telefoonnummer 088-2042500.