AVG als rode draad

Een belangrijk onderdeel van het werk van onze Young Professionals is vanzelfsprekend een focus op de AVG, de Europese privacywetgeving die in mei 2018 van kracht werd. Veel organisaties doen er alles aan om de praktische zaken op orde te krijgen. Awareways Detachering helpt je bij de laatste stappen.

Denk aan het in kaart brengen van datastromen en het terugbrengen van al die gegevens tot alleen het noodzakelijke. Welke informatie heb je, mag je die hebben, en op welke grond mag je die hebben? Waar sla je ze op en wat doe je ermee? Nieuwe taken en uitdagingen waar veel organisaties hulp bij nodig hebben.

27 February 2019

Verwerkingsregister

In de voorbije maanden waren we actief bij een private organisatie in de zorg met een concrete vraagstelling vanuit AVG-gerelateerde verantwoordelijkheden. Specifiek werden we ingeschakeld om het verwerkingsregister compleet te maken. Bij deze opdracht hebben we ons sterk gericht op dataminimalisatie, want er bleken in de praktijk veel onnodige risico’s rond de opslag van gegevens te zijn: er werd te veel informatie te lang bewaard.

Nadat we in kaart brachten welke data binnen komt en hoe dat proces gestroomlijnd kan worden, is er een beleid opgesteld om slimmer met gegevens en opslag te werken. Daar hoort een belangrijk stuk administratie bij, waaronder het opstellen en naleven van concrete bewaartermijnen. Ook de ‘kleinere’ administratieve verplichtingen werden nagelopen, waaronder het in orde maken van het privacy statement op de website. Data moet namelijk niet alleen op de juiste manier beschermd worden, maar we hebben ook de verplichting om dat proces naar buiten toe te duiden en transparant te maken.

DPIA: Data Protection Impact Assessment

Naast het behandelen van de concrete vraagstukken die er vanuit de organisatie bij aanvang van de opdracht al lagen, is er ook inzicht geboden in diverse andere onderdelen die vanuit de privacywetgeving de aandacht verdienen. Dat proces is begonnen met een proefdag bij deze klant, waarbij we met vijf Young Professionals in de dagelijkse praktijk meegelopen hebben om een beeld te kunnen vormen van de situatie. Daaruit bleek dat er weliswaar al veel in orde was, maar dat er ook nog de nodige werkzaamheden lagen. Een DPIA is uitgevoerd om de benodigde stappen in kaart te brengen.

Een DPIA uitvoeren is noodzakelijk om privacyrisico’s van gegevensverwerking in kaart te brengen, waar nodig te handelen om die risico’s te verkleinen en daarmee de regels van de AVG te volgen. Het stimuleert om in een vroeg stadium na te denken over de impact van het project op de privacy, maakt inzichtelijk wat de risico's zijn voor de personen wiens gegevens verwerkt worden en voor de organisatie zelf, en of er wellicht een aanpak is die minder gevolgen heeft voor de privacy van alle betrokkenen. Ook kan de tool ingezet worden om bestaande processen langs de meetlat van de privacywetgeving te leggen.

Vanuit de bevindingen van de DPIA is een voorstel geschreven om de volgende stappen te zetten. Vervolgens is onze Young Professional, die inmiddels een verlenging van zijn interim opdracht heeft afgestemd, aan de slag gegaan met de implementatie van de aanbevelingen. Een belangrijk punt daarbij is het opstellen van het informatiebeveiligingsbeleid. Belangrijk is dat dit beleid pragmatisch is én dat dit ook daadwerkelijk door de (medewerkers van de) organisatie wordt omarmd. Dat voorkomt dat het beleid een papieren tijger wordt, maar ook echt in de praktijk werkt.

Hoe? Door met name het gedrag van de medewerkers te veranderen. Extra kennis en inzicht in de risico’s van hun gedrag geven, maar ook door praktische tips te geven hoe zaken werken. Bijvoorbeeld uitleg geven hoe een passwordmanager werkt, in plaats van enkel voor te schrijven dát deze gebruikt moet worden. 

Awareways Detachering

Wilt u uw beleid ook écht in de praktijk laten werken? Neem contact op met Bas de Groot via 06 414 282 12 of bas.degroot@awarewaysdetachering.com.

CONTACT

Wil je meer informatie over Awareways Detachering? Laat dan hier je gegevens achter en we nemen zo spoedig mogelijk contact met je op.