Blijf op de hoogte:

Contact: 033-7410041

Blogs

Aan de slag: Het temmen van de AVG tijger

Jens Goossens
0

In de zomer van vorig jaar kwam ik op het terras met twee bekenden in gesprek over de General Data Protection Regulation (GDPR), ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG). Het ging er toen globaal over wat dit zou kunnen betekenen en of men er al mee bezig was. Dat laatste was zeker nog niet het geval. Recentelijk liep ik een van die bekenden tegen het lijf waarbij hij zei: “weet je nog vorig jaar toen we het over de AVG hadden? Nu is men bij mij op het werk behoorlijk nerveus dat de verordening eraan zit te komen en ze er nog niet klaar voor zijn…”  Met een kleine glimlach liep ik weer door wetende dat zij niet de enige zijn die (te) lang hebben gewacht met aanpakken van deze nieuwe verordening.  

 

AVG een grotere uitdaging dan verwacht

 

D-Day

25 Mei is het zover! Zoals bovenstaand voorbeeld aangeeft zijn veel organisaties nog niet klaar voor de AVG. Daarmee lijkt de AVG op een tijger die langzaam zijn prooi besluipt, je weet misschien dat die tijger ergens rondsluipt, maar je ziet hem vaak pas wanneer het te laat is! Of is het toch meer een speelse kat met grootheidswaanzin? Hoe dan ook, de AVG is niet alleen voor de poes. Data is een aspect dat steeds belangrijker begint te worden in ons leven en dus ook voor onze business. Een datalek kan al snel zorgen voor de nodige negatieve publiciteit. Jouw organisatie zou zo maar ergens in het nieuws kunnen staan met als titel 'duizenden gegevens op straat'. Zorgvuldig omgaan met (persoons)gegevens (AVG of niet), is dus iets waar iedere organisatie zich serieus mee bezig moet houden!  

Er zit weinig betrouwbare data in systemen

 

Maar wat betekent dit nou concreet?

Heel veel, maar daar is ook al heel veel van besproken. Waar ik mij graag op wil richten is artikel 30 van de AVG, het register van de verwerkingsactiviteiten. Iedere verwerkingsverantwoordelijke of de vertegenwoordiger daarvan moet een register bijhouden met daarin o.a. de verwerkingsactiviteiten waarvoor zij verantwoordelijk zijn. In mijn rol als consultant heb ik hiervan al enkele varianten voorbij zien komen, van nieuwe fancy boekhoudsystemen voor Data Protection Officers tot relatief eenvoudige Excel lijsten. Wat echter ook tot de mogelijkheid behoort is gebruik maken van een Enterprise Architectuur modelleer omgeving, zoals de BiZZdesign Enterprise Studio. Grote kans dat een deel van de informatie die relevant is voor de AVG al op een bepaalde manier deel uit maakt van je architectuur. Want als we het over gegevensverwerkende activiteiten hebben dan spreek je over je (deel)processen. Dat is namelijk de plek waar iemand in een of ander systeem bepaalde informatie verwerkt m.b.t. een bepaald doel. Dit valt prima in ArchiMate termen te vertalen waarbij we het dus o.a. hebben over bedrijfs- processen/activiteiten, bedrijfs- rollen/actoren, bedrijfs/data -objecten en applicatie componenten. Vanuit het verwerkingsregister komen daar echter nog een paar aspecten bij, maar ook deze aspecten zijn prima te beschrijven in een architectuurmodel!

 

Artikel 30 & ArchiMate een gelukkig huwelijk?

Wat er allemaal beschreven moet worden in het register staat helder beschreven in artikel 30 van de Algemene Verordening Gegevensbescherming. Het eerste wat opvalt is dat er twee varianten van het register zijn, een voor de verwerkingsverantwoordelijke of de vertegenwoordiger daarvan en een voor verwerkers. Binnen deze registers gaat het over categorieën van betrokkenen, ontvangers en persoonsgegevens. Niet eens over specifieke instanties, maar over categorieën. Betrokkenen kun je onderverdelen in bijvoorbeeld drie categorieën: medewerkers, relaties en klanten. De vraag is echter of dit niet te abstract is? Anderzijds kan het ook een behoorlijke klus zijn om alles specifiek vast te leggen. Laat staan dat je ook nog moet beheren. Het bepalen van deze categorieën is dan ook wel de uitdaging. Zo zal een bouwbedrijf andere categorieën van persoonsgegevens kennen dan bijvoorbeeld een GGD waar veel bijzondere persoonsgegevens worden verwerkt.

Dat het over categorieën van persoonsgegevens gaat vind ik dan wel weer een nadeel, want welke gegevens vallen daar dan weer onder? Het beschrijven in categorieën geeft mij de smaak dat het verwerkingenregister eerder een soort papieren tijger wordt die je alleen uit de kast haalt wanneer een audit o.i.d. plaatsvindt. Een gemiste kans wat mij betreft!

AVG in de BiZZdesign Enterprise Studio

 

Deze en andere vraagstukken kunnen dus in eerste instantie eenvoudig inzichtelijk worden gemaakt op het moment dat het verwerkingsregister opgesteld wordt. Deze informatie kan je ook goed in een Enterprise Architectuur omgeving kwijt zodat snel o.a. overzichten, analyses en cross-mappings uitgevoerd kunnen worden over de gehele organisatie. Niet alleen de mogelijk om nu extra inzichten op te doen, maar ook kijkende naar de toekomst. Wat verandert er op het gebied van privacy- en security op het moment dat ik een nieuwe service ga aanbieden aan mijn klanten? Of een nieuw kanaal ga gebruiken om bestaande diensten aan te bieden? Wat als er wijzigingen in het applicatielandschap plaatsvinden? Je wil dan niet in allerlei Excel bestanden gaan zitten zoeken hoe de wereld er nu uitziet of er eerst meerdere sprints gewijd moeten worden aan het schetsen van het huidige proces of er een informatieanalyse uitgevoerd moet worden. Artikel 30 is een “moetje” maar met wat extra aandacht kan je het ook als een kans zien om belangrijke aandachtsgebieden inzichtelijk te krijgen en effectief verandering te sturen!

AVG heatmap

 

BiZZdesign Enterprise Studio: AVG Verwerkingsregister

25 mei 2018 is de dag dat de nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG) ingaat. Een van de vereisten in deze nieuwe privacywetgeving is het verwerkingsregister waarin alle processen waar persoonsgegevens verwerkt in worden vastgelegd worden. Op het moment dat de Autoriteit Persoonsgegevens een controle uitvoert, dient een dergelijk register getoond te worden. Wij hebben het verwerkingsregister in de BiZZdesign Enterprise Studio verwerkt. Via onderstaande button krijg je hier meer informatie over. 

Bekijk het verwerkingsregister

privacy, Privacy wetgeving, Datamangement, data, peroonsgegevens, AVG, Algemene Verordening Gegevensbescherming, GDPR, General Data Protection Regulation, Verwerkingsregsiter, Data Protection Officer