Organisaties waren al bekend met de Wet bescherming persoonsgegevens, maar door de invoering van de Algemene Verordening Gegevensbescherming (AVG) zijn strengere regels voor de verwerkingen van persoonsgegevens daarvoor in de plaats gekomen. Met als gevolg dat in 2018 privacy tijdelijk hoog de agenda’s van professionele organisaties stond. Ondernemingen dachten snel te voldoen aan de regels van de AVG, maar compliance is immers geen kort project. Voldoen aan de AVG is een continu proces en zeker ook een kans!
Veel organisaties zijn gestart met AVG…
De harmonisatie van de privacyrechten in de Europese Unie heeft organisaties een grotere verantwoordelijkheid gegeven tot het beschermen van persoonsgegevens. Veel organisaties zijn dan ook met goed gemoed van start gegaan met het implementeren van de AVG. Zo werden privacy verklaringen op websites geplaatst, verwerkersovereenkomsten afgesloten met leveranciers en werden er veel (onnodige) e-mails over de AVG verstuurd naar klanten op de mailinglijst, al dan niet met het verzoek om toestemming om ze te blijven informeren. Dit alles is vaak een goede start, maar biedt geen basis om blijvend te voldoen aan de AVG.
…En organisaties zijn verder gegaan
Met name grotere ondernemingen hebben inmiddels een degelijk privacybeleid en een functionaris gegevensbescherming (FG) of data protection officer (DPO) aangewezen, eventueel met een AVG team met vertegenwoordigers in verschillende domeinen. Er werd een aanzet tot een verwerkingsregister gemaakt - maar vaak in Excel, wat na langer gebruik snel onoverzichtelijk werd. Het is een minder handige tool om mee samen te werken, meestal hebben documenten maar één eigenaar. Een andere medewerker zal wel input leveren, maar zal nooit uit zichzelf de Excel van iemand anders openen om te controleren of er nog taken voor hem of haar in staan. Er wordt wel al beter stil gestaan bij de privacywetgeving, maar het is nog niet goed genoeg, er lijkt gebrek te zijn aan een praktisch instrument om verwerkingen van persoonsgegevens overzichtelijk te administreren.
Professionalisering brengt nieuwe vraagstukken
Lang niet iedereen binnen een organisatie is in eerste instantie bekend met alle processen rondom het verwerken van persoonsgegevens. Door duidelijke overzichten te creëren is dit probleem echter eenvoudig verholpen. Vervolgens moet het AVG-beheer worden uitgerukt in doelstellingen en volwassenheidsniveaus waarop de rolverdeling moet worden gemaakt. Welke taken zijn er en hoe worden deze gecontroleerd? Door de complexiteit van de naleving van de privacywetgeving worden geautomatiseerde instrumenten steeds belangrijker om te komen tot duurzaam privacy beheer. Hier stapt TrustBound GRC in. Met TrustBound gaat een organisatie van een eenmalig compliance project naar een doorlopend GRC programma voor privacybeheer, wat nodig is in de organisatie om de bescherming van persoonsgegevens blijvend te garanderen. TrustBound richt zich op drie pijlers: administratie als basis voor beheer, risico gestuurd werken als basis voor kwaliteit en een duidelijke rolverdeling op drie niveaus.
Samenhang met informatiebeveiliging
Bescherming van persoonsgegevens kan niet los worden gezien van informatiebeveiliging. Informatiebeveiliging wordt steeds vaker geregeld vanuit een ISMS gebasseerd op ISO 27001. Bij de ontwikkeling van beleid is het dan ook aan te raden te kiezen voor een integrale benadering en de samenwerking met (de leveranciers van) ICT op te zoeken.
Kwaliteit en continuïteit
Professionele begeleiding bij de AVG is een kans voor het verbeteren van de kwaliteit van de organisatie.
Geplaatst 29-04-19
Snel overzicht met TrustBound GRC
Sta jij voor de uitdaging om een privacy of informatiebeveiliging op te zetten voor jouw organisatie? Ons platform werkt als een vliegwiel en zorgt ervoor dat je snel stappen kan zetten.
Lees hier hoe het TrustBound GRC Platform deze uitdaging voor jou makkelijker maakt.