Blijf op de hoogte:

Contact: 033-7410041

Blogs

7 stappen om te voldoen aan de nieuwe privacywet: AVG

Zoals in de introductie van de blogserie is aangegeven, heeft Bvolve een stappenplan bedacht die doorlopen kan worden om aan de nieuwe privacywet: Algemene Verordening Gegevensbescherming (AVG) ook wel General Data Protection Regulation(GDPR) te voldoen. De volgende 7 stappen helpen organisaties in hun voorbereiding, beginnend bij bewustwording van medewerkers.

1. Besef en bewustzijnStappenplan om te voldoen aan de nieuwe privacywetgeving

Een solide basis voor het op de juiste manier verwerken van persoonsgegevens begint bij bewustzijn van de organisatie en haar medewerkers. Zorg ervoor dat alle medewerkers in je organisatie op de hoogte zijn van de nieuwe privacyvoorschriften. Veel organisaties zullen inmiddels weten dat de AVG per 25 mei van kracht wordt en zullen wellicht al over maatregelen hebben nagedacht. Het is daarom belangrijk om te bedenken hoe gegevens de organisatie binnenkomen, maar ook welke systemen en personen deze gegevens verwerken. Het kan bijvoorbeeld voorkomen dat werknemers zelf fysiek of digitaal documenten bijhouden waarin persoonsgegevens van cliënten staan. Uiteindelijk moeten zij inschatten wat de impact van de AVG is op hun huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de medewerker en tot weerstand kan leiden. Bvolve heeft een aanpak bedacht om bewustzijn te creëren binnen de organisatie omtrent de AVG en snel doch compleet inzicht te bieden in welke persoonsgegevens worden vastgelegd in welk bedrijfsproces. 

 

2. Processen

Om in kaart te kunnen brengen waar welke persoonsgegevens worden gebruikt is het van belang dat er inzicht is welke bedrijfsprocessen er bestaan binnen de organisatie. Ondanks dat bedrijfsprocessen per organisatie kunnen verschillen, zijn er wel generieke doeleinden te bedenken waarom er in bedrijfsprocessen bepaalde persoonsgegevens worden verwerkt. Zo zullen er in HRM processen gegevens worden vastgelegd over medewerkers ten behoeve van salarisuitbetaling. Een ander voorbeeld is het opslaan van klantadresgegevens om bestellingen af te kunnen leveren op het juiste adres. In onze eerste blog lees je wat gerechtvaardigde doelbeschrijvingen zijn om in processen persoonsgegevens te verwerken. Die kunnen vervolgens gedocumenteerd worden in het verwerkingsregister.

 

3. Register

Het verwerkingsregister brengt alle gegevensverwerkingen in kaart en is onderdeel van de verantwoordingsplicht van de AVG. Elke organisatie moet namelijk kunnen aantonen dat zij in overeenstemming met de AVG handelt. Documenteer onder andere welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie ze worden gedeeld. Bvolve kan door middel van een Business Accelerator in korte tijd een verwerkingsregister opbouwen waar, naast de doelbeschrijving, tientallen andere wettelijk voorgeschreven velden ingevuld moeten worden ter verantwoording van het verwerken van persoonsgegevens. Dit wordt gedaan door met de verantwoordelijke afdelingen in workshops de hoofdprocessen te doorlopen en voor elke processtap te bepalen of, en zo ja welke, persoonsgegevens er worden verwerkt. Na een week staat er dan een raamwerk van het verwerkingsregister waaruit bevindingen en conclusies kunnen worden getrokken. Tegelijkertijd zijn de geïnterviewde medewerkers direct beter op de hoogte van de komst van de AVG. Om dit actueel en overzichtelijk te houden kan het door middel van een bestaande configuratie naar BizzDesign Enterprise Studio geëxporteerd worden, wil je hier meer informatie over, neem dan contact op met Michiel Overgaag.

 

4. Autorisatie

Vervolgens is het belangrijk dat je kijkt naar de autorisatie van de medewerker per systeem. Daarvoor moet je eerst verifiëren wat van de opgehaalde informatie mogelijkerwijs ingevuld kan worden door medewerker en klant. Vanuit het proces kan men bijvoorbeeld aanduiden dat er geen geboortedatum wordt vastgelegd, maar als dit veld wel zichtbaar is in het systeem dienen er kritische vragen gesteld te worden.

Behalve de verificatie wordt in deze stap ook meegenomen wie welk persoonsgegeven kan verwerken en waarom diegene daarvoor autorisatie heeft. Applicaties worden geraadpleegd door medewerkers uit het primaire proces, applicatiebeheerders en andere ICT’ers. Dit brengt risico’s met zich mee zoals het inzien van gevoelige data door de verkeerde personen en het kopiëren van data (ook in fysieke vorm). Na het voltooien van deze stap is er een groter bewustzijn omtrent autorisatie rondom systemen waarin persoonsgegevens worden verwerkt. Voor de continuïteit is het belangrijk dat dit geborgd wordt, zodat ook elke nieuwe medewerker weet hoe hij of zij persoonsgegevens moet vastleggen en verwerken.

 

5. Privacy- en securitybeleid

Om de vastgelegde autorisatie in te bedden in de processen van de organisatie is het noodzakelijk om het privacy- en securitybeleid te herzien. Leg hierin onder andere vast welke technische en organisatorische maatregelen genomen zijn ten behoeve van privacy en security. Hierbij kan je denken aan anonimiseren en pseudonimiseren van gegevens en aan verwerkersovereenkomsten met derde partijen waarin concreet staat wie toegang heeft tot welke gegevens. Het beleid kan verder uitgewerkt worden in gedragsregels, werkinstructies en/of draaiboeken. 

 

6. Cultuur

Naast concreet beleid, wordt er meer vereist van de organisatie om AVG compliant te worden. Door alle stappen heen druipt namelijk de noodzaak tot verandering van de bedrijfscultuur rondom privacy. Workshops wijzen de afdelingen of teams op het bestaan van de nieuwe wetgeving, maar het vergt meer om medewerkers in hun primaire dagtaken bewust en verantwoord te laten omgaan met persoonsgegevens. Vanuit de top van de organisatie moet de ernst blijken en een visie opgesteld worden. In een ideale situatie ervaren de medewerkers de verantwoordelijkheid van de organisatie als hun eigen verantwoordelijkheid. Cultuur is een niet te onderschatten pijler die vraagt om toewijding van het management tot aan de medewerker in het primaire proces.

 

7. Communicatie (juridisch aspect > communicatie naar medewerker en klant)

De laatste stap van de Bvolve aanpak voor de AVG behelst zowel de interne als de externe communicatie. Naast bewustwording bij alle medewerkers, is het nodig om klanten te informeren dat hun gegevens verwerkt worden ten behoeve van verschillende doeleinden. De klant dient gewezen te worden op hun rechten om informatie in te zien en bijvoorbeeld te laten verwijderen. Om dit soort communicatieboodschappen voor te bereiden wordt een brainstormworkshop met de afdeling communicatie georganiseerd. Hierin wordt toegelicht wat de rol is van de afdeling in het kader van de AVG en wat zij kunnen betekenen voor de klant en de medewerker. Goede communicatie leidt tot een groter bewustzijn binnen en betere verantwoording vanuit de organisatie.

Wil je graag een persoonlijk gesprek hebben over AVG vraagstukken binnen jouw organisatie? Neem dan contact op met Luuk Wagenaar of Rens de Langen.

AVG/GDPR Plan van Aanpak

Er staat voor organisaties het nodige te doen om 25 mei te halen. Het kan in de tijd die vanaf nu nog beschikbaar is, maar het is wel verstandig om direct te beginnen. Het plan van aanpak geeft je handvatten waarmee je concreet aan de slag kunt. Aan de hand van vier fases wordt je meegenomen in het implementatieproces van de AVG/GDPR. 

New Call-to-action

 

GDPR, AVG, Wat is de AVG, privacy, Datamanagement, Stappenplan GDPR, Wat is de Algemene verordening Gegevensbescherming, Algemene Verordening Gegevensbescherming, Privacy wetgeving, wetgeving, persoonsgegevens, stappenplan avg, 7 stappen om te voldoen aan de AVG