Contact

Organisatie AVG-proof maken

Organisatie AVG-proof maken

Per 25 mei 2018 is de nieuwe wet Algemene Verordering Gegevensbescherming leidend geworden en daarmee is de Nederlandse Wet bescherming persoonsgegevens (Wbp) komen te vervallen. Dit heeft, hoe dan ook, impact op jouw organisatie gehad!

De oplossing

AVG is een continu proces. De oplossing ervan is niet te vangen in één tool of met één middel. De essentie van de AVG is om in control te komen en te blijven rondom privacygevoelige gegevens. Het vraagt om een integrale aanpak waarmee je een passende set aan maatregelen samenstelt en daarbij een plan opzet om deze maatregelen te implementeren.

Voorbeelden

Arlande heeft voor een aantal organisaties een belangrijke rol kunnen spelen met het AVG-proof worden. In deze nieuwsbrief lichten we een aantal opdrachten toe. Tevens tref je een praktisch plan van aanpak aan dat je verder op weg kan helpen om applicaties waar veel persoonsgegevens in verwerkt worden AVG-proof te maken.

AVG Scan

Daarnaast geeft de Arlande AVG Scan inzicht in waar jij staat met de invoering van de AVG-wetgeving binnen jouw organisatie. Download hier de AVG Scan.

Veilig Verkeer Nederland - Babette Ruijter

Veilig Verkeer Nederland (VVN) wilde zo snel mogelijk AVG-proof zijn. Ze hebben Arlande gevraagd om daar bij te helpen. Het traject bestond uit het samenstellen van een multidisciplinair projectteam bestaande uit leden van de beroepsorganisatie en de vrijwilligersorganisatie. In een aantal maanden was VVN zo ver met de invoering dat ze de laatste stappen zelf konden uitvoeren. De uitgevoerde activiteiten waren:

  • Bewustwording en gedragsverandering van alle medewerkers en vrijwilligers;
  • Aanpassen systemen;
  • Protocollen aanpassen en nieuwe opstellen waar nodig;
  • Opstellen nieuwe formulieren;
  • Aanpassen van de contracten.

Stopoz - Sander Vos

Stichting Openbaar Primair Onderwijs Zuid-Kennemerland (Stopoz) vormt het bestuur van negen openbare scholen in de gemeenten Bloemendaal, Heemstede, Zandvoort, Haarlemmerliede en Spaarnwoude. Stopoz had net als iedere andere organisatie de taak en verantwoordelijkheid om zichzelf en alle school locaties AVG-proof te maken vóór 25 mei 2018 en daarmee te voldoen aan de eis vanuit de overheid.

Het traject bestond uit de inventarisatie van applicaties, het AVG-proof maken van de applicaties en met de verschillende leveranciers daar waar nodig nieuwe verwerkersovereenkomsten overeen te komen. Naast de juiste inhoud en het gebruik van alle applicaties is bewustwording omtrent het gebruik van leerling informatie en privacy die daarbij in acht genomen dient te worden essentieel.

Om bewustwording te creëren is het projectteam op bezoek gegaan bij iedere basisschool. Medewerkers en leerkrachten werden aan de hand van veel praktijk voorbeelden middels presentaties geïnformeerd over juist gebruik van leerlinggegevens. Door gebruik te maken van deze voorbeelden is het voor de medewerkers tastbaar geworden en beklijfde de informatie.

Aanpak AVG

Iedere organisatie moet voldoen aan de AVG. Veel bedrijven hebben hiermee geworsteld en doen dit tot op de dag van vandaag nog steeds. Dit ondanks dat de AVG niet meer is dan een aanvulling dan wel een verdieping van de Wet Bescherming Persoonsgegevens. Het verschil tussen de AVG en de Wet Bescherming Persoonsgegevens is dat de nadruk veel meer ligt op het aan kunnen tonen dat je als organisatie voldoet aan de wet. Doet een organisatie dit niet, dan staan hier zoals bekend hoge boetes tegenover.

En nu?

Er is veel informatie beschikbaar hoe een organisatie voorbereid dient te zijn. De Autoriteit Persoonsgegevens heeft de 10 belangrijkste stappen al voor je op een rijtje gezet. Zie hiervoor het onderstaande overzicht.


 
Dit stappenplan is een goed begin en er is veel inhoudelijke informatie te vinden op het internet omtrent dit onderwerp. Echter is de belangrijkste vraag hoe je dit allemaal in jouw organisatie kunt implementeren en borgen. Arlande heeft een aanpak om uw organisatie hierbij te ondersteunen. De aanpak kent een vijftal fasen die plaatsvinden op een drietal onderdelen binnen de organisatie: Infrastructuur/Techniek, Mens en Organisatie.

Fase 1 Overzicht

De start is heel erg belangrijk, zonder overzicht geen inzicht. Er zijn bedrijven die ontzettend veel persoonsgegevens verwerken waarbij het niet altijd bekend is om welke informatie het gaat en met wie dit allemaal wordt gedeeld. Je ziet dat veel afdelingen allerlei aparte lijstjes en overzichten bijhouden waarop persoonsgegevens zijn vastgelegd en die deze informatie vervolgens klakkeloos delen met ketenpartners. Veel bedrijven schrikken dan ook vaak van deze wildgroei en het ongestructureerd, ongecontroleerd en daarmee ook onveilig omgaan met persoonsgegevens. Het verzorgen van een overzicht gaat dus samen met het creëren van bewustwording en het ontstaan van urgentie-besef.

Fase 2 Inzicht

Doordat er in de vorige fase een bepaalde mate van urgentie besef is ontstaan, ontstaat ook de behoefte om inzicht te creëren. Het verkrijgen van inzicht gebeurt dan ook op basis van privacy impact assessments waarbij ook wordt gekeken naar de verschillende risico’s. Risicoanalyses zijn een belangrijk onderdeel waarbij steeds word gekeken naar een tweetal onderdelen: Het vaststellen van de impact en de kans dat een risico zich voordoet. Dit inzicht op de vlakken mens, organisatie en techniek is een zeer goed middel om de juiste discussies aan te gaan omtrent het nemen van de noodzakelijke maatregelen.

De analyses op de verschillende vlakken zoals een awareness meting, een audit op de processen/organisatie en de verschillende technische assessments zijn noodzakelijk voor de aanpak van privacyvraagstukken.

Arlande is met haar kennis in staat om de processen binnen een organisatie te doorgronden waarmee de privacyrisico’s in kaart gebracht worden.

Fase 3 Plan

Na inzicht volgt het plan. Hoe nu verder, wat is nodig, welke procedures dienen er te komen of aangepast te worden? De input vanuit de vorige fase zorgt ervoor dat in de plan fase we kunnen komen tot een gedegen aanpak om vervolgens de veranderingen in de implementatiefase door te voeren. In deze fase gaan we een plan van aanpak maken om de processen waar nodig aan te passen en zullen we adviseren in de te nemen beveiligingsmaatregelen op gebied van techniek en governance.

Fase 4 Implementatie

Nadat de plannen in wederzijdse overeenstemming met de betreffende organisatie gemaakt zijn worden deze plannen ten uitvoer gebracht. Medewerkers worden getraind en er komen workshops voor het creëren van meer awareness op het gebied van privacy. Er zal een Functionaris gegevensbescherming aangesteld dienen te worden indien dit nog niet is gebeurd. De administratie omtrent gegevensgebruik wordt opgesteld. Ook worden de verwerkersovereenkomsten opgesteld en afgesloten met de ketenpartners. Ten aanzien van techniek worden er verschillende maatregelen getroffen, zoals het inrichten van monitoring en control. Deze fase vraagt veel kennis, ervaring en geduld voor succesvolle inbedding van de verschillende maatregelen die de AVG voorschrijft.

Fase 5 Evaluatie

De laatste fase is de aanpak is de evaluatiefase. In deze fase wordt gekeken waar de verbeterpunten zich bevinden. Wat kan anders, wat kan in de nabije toekomst nog beter? Een organisatie is niet klaar nadat het voldoet aan de AVG. Wet- en regelgeving veranderen ook continu. Leveranciers komen en gaan en mensen dienen de bewustwording vast te houden. Er worden audits gepland om te toetsen of de organisatie na enige tijd nog steeds voldoet aan de gestelde eisen op het gebied van organisatie, processen en techniek.

Arlande

Arlande zorgt voor het in kaart brengen van de risico’s, adviseert in het nemen van de juiste maatregelen om deze vervolgens in te bedden in de organisatie. Door middel van een pragmatische en gefaseerde aanpak zorgt Arlande voor AVG-overzicht en inzicht. Hierdoor ontstaat er binnen de organisatie urgentie besef om het juiste te doen als het gaat om privacy. Arlande helpt jouw organisatie om privacymanagement in te richten zodat de directie verantwoording kan, maar ook durft, af te leggen.