De welbekende AVG[1] voelt voor iedereen als een grote eenmalige administratieve last die je maar zo snel mogelijk af moet ronden. Je actualiseert je huidige procedures en beleid, je past de website aan, je benoemt de eerste medewerker op de gang die je tegen komt tot Functionaris Gegevensbescherming (FG) en je vraagt HR tegen een zo’n goedkoop mogelijk tarief enkele e-learnings aan te schaffen, en daarmee is voor jou de implementatie van de AVG een feit! Of is het toch lastiger dan we denken?
Maatregelen waarmee organisaties voldoen aan de cosmetische verplichtingen van de AVG, maakt een organisatie nog niet AVG-compliant. Eigenlijk weet iedereen dat wel maar neemt niemand het initiatief. Wat is hier de oorzaak van?
Voor sommige organisaties is er namelijk sprake van een vorm van ontkenning. De initiële implementatie is voor hen op het eerste gezicht goed genoeg om ervoor te zorgen dat de organisatie de AVG naleeft en het gesprek met de auditor hierover te kunnen aangaan. Zoveel risico loopt de organisatie immers niet, en veel persoonsgegevens verwerken ze ook niet.
Andere organisaties weten echter wel wat ze zouden moeten doen, maar stuiten op veel weerstand binnen de organisatie. Management geeft geen financiële budgetten, middelen en mandaat om een slag verder te gaan en medewerkers in de operatie willen je niet weer aan zien komen met de vragen “welke persoonsgegevens verwerk jij?”.
Daarnaast kan er ook onmacht ontstaan over de hoeveelheid verwerkersovereenkomsten die jouw organisatie toegestuurd krijgt en uit onkunde worden deze zonder kritische blik ondertekend. Daarnaast hoor je overal dat persoonsgegevens alleen maar op basis van toestemming mogen worden verwerkt en eigenlijk niets mag. Tot slot duurde het implementatietraject toch een stukje langer en het einde kwam niet in zicht, en het volgende project stond alweer voor de deur.
Een vierde groep organisaties weet niet eens hoeveel persoonsgegevens ze hebben, omdat ze alle processen die hierover gaan, hebben uitbesteed. Zij vertrouwen op de kwaliteit en professionaliteit van hun leveranciers, maar vergeten dat zij zelf verantwoordelijk zijn.
Wat kun je wel doen?
Waar een wil is, is een weg, maar voor velen blijkt het een moeilijke opgave om te komen tot de echte implementatie van de AVG. Dus wat kan je wel doen als organisatie om op korte termijn met relatief kleine inzet resultaat te boeken?
Volledigheid en volwassenheid
De eerste stap is om te kijken waar je staat en wilt staan in het implementatietraject. Hoeveel van de beleidsstukken en processen zijn daadwerkelijk geformaliseerd en geactualiseerd en zijn ze gebruikersvriendelijk? Je analyseert of de veranderingen die reeds zijn uitgevoerd blijvend van aard zijn geweest of dat er een nieuwe boost aan moet worden gegeven. Om hierin inzicht te krijgen is het van belang om de volledigheid van documentatie te toetsen en de volwassenheid van de organisatie na te gaan. Dus niet alles opnieuw schrijven door verschillende mensen, maar gewoon alles rustig doorlezen, vereenvoudig waar nodig en verwijs naar documenten waar het kan.
AVG-raamwerk
De AVG wordt gezien als het implementeren van een set verplichte maatregelen. Een belangrijke start in de daadwerkelijke implementatie is door de AVG niet alleen als een verplichting te zien maar ook een kans om de huidige bedrijfsvoering te optimaliseren. Maak het in ieder geval een gedeelde verantwoordelijkheid van de afdelingen en leg het niet bij een persoon neer. Laat medewerkers die veel met persoonsgegevens meedenken over een privacy-strategie. Laat management zich uitspreken over wat privacy betekent in het kader van de bedrijfsstrategie. Op basis van deze input worden de verplichtingen een logisch onderdeel van de werkwijze binnen de organisatie.
Gemeenschappelijke basis, gemeenschappelijke verantwoordelijkheid
Het belang van de FG’er is om te zorgen dat de organisatie bewust omgaat met persoonsgegevens en dat deze goed worden gewaarborgd. Maar elke medewerker heeft indirect een bepaald belang bij een goede waarborging, alleen op een ander niveau. Zo hebben medewerkers die analyses uitvoeren op persoonsgegevens, belang bij de datakwaliteit van persoonsgegevens. Zij moeten ervan uit kunnen gaan dat de data die binnen de organisatie stroomt, accuraat en actueel is. De marketingafdeling zou bewust moeten zijn op welke basis zij de persoonsgegevens wel met de juiste grond verzamelen. De gewone medewerker heeft er baat bij dat de organisatie, als werkgever, persoonsgegevens van medewerkers op de juiste manier verwerkt. Privacy is in al deze facetten een gemeenschappelijke basis en wordt daarom, hoewel in kleine stukjes, door de organisatie gedragen als een gemeenschappelijke verantwoordelijkheid.
Gebruik wat er is, niet wat er mist
Veel implementatietrajecten zijn begonnen met het analyseren van bestaande documentatie en alle afwezige benodigde documentatie op te stellen. Het blijft hierbij belangrijk om te zorgen dat beleid en procedures worden aangepast aan de werkwijze en de cultuur van de organisatie. AVG-processen moeten namelijk niet opzichzelfstaande documenten zijn maar dienen te worden geïntegreerd in de organisatieprocessen die al bestaan. Wanneer jij als organisatie al een goedwerkende procedure hebt rondom incidentenbeheer, is het aanpassen van deze procedure zodat deze ook werkt voor datalekken makkelijker, dan een hele nieuwe procedure op te zetten. Juist omdat organisaties en hun context blijvend veranderen, is het belangrijk om aandacht voor privacy onderdeel te laten zijn van de organisatiecultuur.
Privacy niet op zichzelf maar als onderdeel van iets groters
Privacy is niet een losstaand thema binnen jouw organisatie. Het is niet enkel een juridische kwestie met zwart-wit oplossingen, maar een breed organisatievraagstuk dat veel raakvlakken heeft met datamanagement en informatiebeveiliging. Grote hoeveelheden data worden verwerkt in verschillende systemen en platforms. De controle houden over al deze processen is vaak een al een uitdaging. Persoonsgegevens dienen tevens passend te worden beveiligd. Een cyberaanval kan grote gevolgen hebben voor het imago en voortbestaan van jouw organisatie, evenals een datalek door een verkeerd handelen van een medewerker of verwerker.
Privacy in het DNA van de organisatie
Een duurzame implementatie betekent ook dagelijkse aandacht voor privacy. Besteed aandacht aan de principes bij het inwerken van nieuwe collega’s. Geef met regelmaat trainingen en implementeer een duurzaam awareness programma. Zorg ervoor dat bij vernieuwingen, veranderingen en projecten standaard een risico-inventarisatie met bijbehorende tegenmaatregelen rondom het onderwerp privacy wordt opgesteld. Stel niet alleen beleid op maar deel ook goede voorbeelden met collega’s en leveranciers.
Concrete oplossingen voor een goed beheer
Dat is allemaal wel leuk en aardig natuurlijk, maar je vraagt nu natuurlijk af waar te beginnen? Voordat je begint, bepaal eerst goed wat voor type organisatie je bent en welke maatregelen jouw organisatie naar de volgende stap zullen brengen. De AVG geeft namelijk veel ruimte voor de inrichting van je beheersmaatregelen en verantwoordingsplicht.
Opzetten en onderhouden verwerkingsregister
Het verwerkingsregister is een document waarin alle verwerkingsactiviteiten van persoonsgegevens een organisatie worden gedocumenteerd. Je legt hierin alle voorkomende verwerkingen, grondslagen en bewaartermijnen vast, inclusief de bijbehorende systemen, leveranciers, verwerkersovereenkomsten en persoonsgegevens. Afhankelijk van het type en de grootte van de organisatie is dit veel of weinig werk. Door het volledig en accuraat invullen van het verwerkingsregister leg je je hele systeem en persoonsgegevenslandschap van jouw organisatie vast. Het is de eerste stap om inzicht te krijgen in wat er exact in jouw organisaties gebeurt met persoonsgegevens. Het is echter niet alleen belangrijk voor veel organisaties om enkel persoonsgegevens inzichtelijk te maken, ook het in kaart brengen van andere bedrijf kritische data zorgt voor overzichtelijk datalandschap. Door het bestaande verwerkingsregister als basis te gebruiken voor een degelijk procesmanagement en dataregister, kun je jouw ambitieniveau van AVG-naleving omzetten naar goed beheer van data. Afhankelijk van het type van jouw organisatie kan het interessant zijn om het register in deze fase al te automatiseren.
Behartigen rechten van betrokkenen
Het is van belang dat de organisatie medewerkers instrueert op welke wijze de betrokkenen hun rechten kunnen uitoefenen. Vanuit de wet heeft ‘de betrokkene’ bepaalde rechten, zoals het recht op inzage, verwijdering en dataportabiliteit. Jouw medewerkers moeten weten hoe zij dienen om te gaan met dit soort verzoeken. Afhankelijk van het type van jouw organisatie kun je mogelijk ook veel maar ook weinig vragen van betrokkene krijgen. Zorg voor een apart e-mailadres waar betrokkene terecht kunnen maar train ook jouw medewerkers in de uitvoering van het bestaande proces, zodat zij een functionerende helpdesk kunnen zijn voor de organisatie.
Opzetten en onderhouden retentiebeleid
Een onderdeel van de AVG is dat je weet waar de persoonsgegevens staan, hoe lang en op welke wijze jouw organisatie deze opslaat en wanneer deze wordt vernietigd. Persoonsgegevens mogen namelijk alleen worden bewaard als zij noodzakelijk zijn voor de verwerking. Bewaartermijnen worden vastgelegd in verschillende wetten en regels, welke voor internationale organisaties sterk kunnen verschillen per land. Dit gaat verder dan alleen de verplichting voor het schonen van bestanden met structurele persoonsgegevens. Ook niet-gestructureerde gegevens dienen volgens de bewaartermijn te worden verwijderd. Afhankelijk of de data ook voor andere doeleinden wordt gebruikt, is anonimiseren of synthetiseren ook relevant. Daarom is het verstandig om software te implementeren voor filesharing, zodat niet allerlei bestanden met persoonsgegevens in de bijlage van mails eindigt. Zorg dat het proces voor het schonen van persoonsgegevens zo eenvoudig mogelijk voor jouw organisatie is uit te voeren. Wanneer vernietiging van persoonsgegevens in de systemen niet mogelijk is, denk dan opnieuw aan anonimiseren of het synthetiseren van persoonsgegevens.
Hoe verder in deze bijzondere tijd
In deze fase van thuiswerken kan het nog moeilijker zijn om medewerkers enthousiast te maken voor het thema privacy. Door de grotere afstand en het zo efficiënt mogelijk videobellen, lijkt elke medewerker een aparte organisatie te zijn. Hoewel het risico is dat medewerkers een groter risico voor de organisatie zijn, kun je als organisatie dit moment juist gebruiken om veranderingen door te voeren, doordat medewerkers door de vele aanpassingen, flexibeler zijn geworden in hun werkwijze en openstaan voor nieuwe thema’s. Gebruik juist daarom deze tijd om duurzame aanpassingen door te voeren binnen jouw organisatie en de volgende stap in de AVG-implementatie te bereiken.
[1] Algemene verordening gegevensbescherming