Voorbereiding op de AVG: Wat is uw ideale aanpak?

Nováccent

Op 25 mei 2018 is het zover. Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Uw organisatie moet daar op voorbereid zijn. Voelt u de druk al toenemen? Met AVG gaan we ons verdiepen in datgene wat grotendeels al beschreven is in de Wet Bescherming Persoonsgegevens. En die bestaat nu toch al weer zo'n kleine 17 jaar. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Is het dan echt nodig om bang gemaakt te worden met hoge boetes? Blijkbaar wel?

Waar te beginnen?

Weet u wat u moet doen om voorbereid te zijn? Er is al veel informatie beschikbaar die u in ieder geval al een eerste indruk geeft van de onderwerpen en de omvang van het (voorbereidings) traject. Zo heeft de Autoriteit Persoonsgegevens de 10 belangrijkste stappen voor u op een rijtje gezet. Zie hiervoor het onderstaande overzicht.

Naast dit stappenplan zijn er verschillende bronnen waar u een toelichting vindt op de inhoudelijke onderwerpen. Dat is zeker noodzakelijk, maar de vraag blijft op welke wijze u alle benodigde onderwerpen in uw organisatie krijgt ingebed. Nováccent heeft daarvoor de gefaseerde aanpak die u onderstaand ziet weergegeven.

Er zijn vijf fasen die staan voor de pragmatische aanpak die Nováccent hanteert: overzicht, inzicht, plan, implementatie en evaluatie. Daarbij richt de aanpak zich op mensen, organisatorische & juridische aspecten en techniek. Voor Nováccent is dit vrijwel altijd de logische werkwijze.

Overzicht

De kracht van de aanpak ligt vooral in de start, het creëren van overzicht. Sommige organisaties verwerken zoveel persoonsgegevens dat onbekend is welke verzamelingen er zijn en met welke derde partijen persoonsgegevens worden uitgewisseld. Vaak blijkt dat afdelingen aparte lijsten bijhouden, samenvattingen van grotere databases met persoonsgegevens aanleggen en op structurele basis persoonsgegevens uitwisselen met ketenpartners. Er is veelal wildgroei ontstaan met een grote verscheidenheid in aantallen en verschijningsvormen. Iedere keer schrikt men er zelf van dat 'onder water' de organisatie ongestructureerd, ongecontroleerd en onveilig om gaat met privacygevoelige gegevens.

Het creëren van overzicht gaat dus gepaard met een grote bewustwording en er ontstaat een indringend urgentiebesef. En dat blijft gek om te ervaren, juist omdat gestructureerde, beheerste en gecontroleerde verwerking van persoonsgegevens al zo lang in de wet is vastgelegd.

Inzicht

Het urgentiebesef en de grotere bewustwording uit de overzichtsfase vormen direct het aangrijpingspunt om inzicht te creëren. Dat gebeurt onder andere op basis van privacy impact assessments waarbij de risico-inschatting een integraal onderdeel vormt. Risicoanalyses voert Nováccent regelmatig uit, waarbij twee onderdelen steeds het fundament vormen: het vaststellen van de impact en het vaststellen van de reële kans dat een risico optreedt. Iedere keer blijkt weer dat het risicoprofiel, dat uit de risicoanalyse voortkomt, een praktisch middel is voor beslissers om een vruchtbare discussie over noodzakelijke maatregelen te voeren.

De risicoanalyses, binnen de voorbereiding voor de AVG, zijn een werkelijke aanwinst op de aanpak van privacyvraagstukken in de voorgaande jaren. Niet alleen de impact op de organisatie (de verantwoordelijke) wordt gestructureerd in kaart gebracht, maar ook de impact voor de betrokkenen zelf wordt zichtbaar. Binnen de risicoanalyses wordt de werkelijke waarde van privacy duidelijk voor managers en medewerkers. Dat vergt wel de nodige kennis en ervaring van de experts die uw organisatie begeleiden in de voorbereiding op de AVG. Nováccent beperkt zich niet tot standaard vragenlijsten en checklists. Onze experts doorgronden uw processen en zijn daardoor beter in staat om de reële risico's ten aanzien van privacy in kaart te brengen.

Nováccent is er van overtuigd dat in de 'inzichtsfase' het fundament ontstaat voor een succesvolle voorbereiding op de AVG. Toch zitten er in de vervolgstappen, het opstellen en het implementeren van de plannen, genoeg obstakels die succes in de weg staan.

Inbedden, borgen en verantwoording afleggen

Als het implementatieplan voor privacy is opgesteld volgt de uitrol en moeten diverse maatregelen in de dagelijkse activiteiten van de organisatie worden ingebed. Iedere organisatie kent daarbij zijn eigen obstakels. Ook deze implementatiefase vraagt veel kennis, ervaring en geduld voor succesvolle inbedding van de verschillende maatregelen die de AVG voorschrijft. Nováccent is van mening dat organisaties, die gecertificeerd zijn voor ISO 27001, hierbij een voorsprong hebben.

Gecertificeerde organisatie voeren het beheer van informatiebeveiliging gestructureerd en cyclisch uit. Dat is een prima basis voor gedegen privacy management dat nodig is om te kunnen voldoen aan de AVG. De term 'accountability' staat daarbij centraal. Een gecertificeerde organisatie is gewend aan het opbouwen van zekerheden over effectieve maatregelen en gereduceerde risico's. Binnen een gecertificeerde organisatie gebeurt dat zowel op basis van eigen ambities en bijbehorende doelstellingen, als op basis van de voorgeschreven maatregelen uit de norm (ISO 27001).

Directies van gecertificeerde organisaties durven zonder problemen verantwoording af te leggen. Het monitoren van de vorderingen t.a.v. de eigen doelstellingen, de interne audits, de voortgang van het beveiligingsplan en het periodiek bespreken van de stand van zaken maken dat mogelijk. Accountability ten aanzien van privacy moet volgens Nováccent op dezelfde gestructureerde wijze mogelijk gemaakt worden.

Waar het op aan komt

U moet zo langzamerhand van start met de voorbereidingen voor de AVG. Daarvoor kunt u genoeg informatie vinden over de inhoudelijke onderwerpen. Maar om de juiste risico's in beeld te brengen en vervolgens de juiste maatregelen te selecteren en in te bedden biedt Nováccent een gefaseerde aanpak. Op praktische wijze worden overzicht en inzicht gecreëerd. Er ontstaan urgentiebesef en bewustwording die bij het opstellen en uitrollen van het privacy implementatieplan helpen om diverse obstakels te lijf te gaan. Nováccent helpt u om privacy management op een gestructureerde vorm te geven, zodat de directie verantwoording kan, maar ook durft, af te leggen.

In het volgende blogartikel gaan we verder in op de inbedding van maatregelen voor de AVG binnen de PDCA-cyclus van gestructureerd beheer van informatiebeveiliging voor de ISO 27001. Wilt u meer weten over de voorbereiding op de AVG? Kom dan naar de workshops die wij met onze partners Audittrail en BeOne organiseren. Voor meer informatie klikt u hier.

security-services