ZBC Kennisbank

Je privacy op orde voor de AVG

 

De AVG gaat er gemakshalve van uit, dat je privacy op orde is, maar geeft niet aan hoe hoog je de lat moet leggen. Dat moet je zelf bepalen. De autoriteit Persoonsgegevens (AP) zou hierin meer duidelijk moeten scheppen door richtlijnen te geven en sancties op te leggen. De AP zwijgt echter in alle talen. En terecht.

Het onderwerp privacy is nu een issue in vrijwel alle directiekamers. Dat is meer dan de AP zou kunnen bereiken met een actieve opstelling. Het laten voortbestaan van de dreiging van een boete werkt veel beter. Het risico op reputatieschade, waar de media gek op zijn, doet de rest. Maar organisaties moeten wel iets. De AVG is tenslotte niet alleen een dreigende donkere wolk. De bedoeling van de AVG is, dat adequate bescherming van persoonsgegevens de aandacht krijgt, die het verdient. En hoeveel aandacht die bescherming verdient verschilt van persoon tot persoon en van bedrijf tot bedrijf. Maar hebben we daar eigenlijk wel ooit echt over nagedacht?

Aanpak voor het op orde brengen van je privacy

In het artikel ‘Pragmatische benadering AVG en privacy’ hebben we al aangegeven, dat het niet nodig is om aan alle punten van de AVG te voldoen. Op basis van een afweging van de risico’s en van de belangen van enerzijds de betrokkenen en anderzijds de verantwoordelijke organisatie en haar bewerkers moet men komen tot keuzes, tot beleid dus, en tot de uitwerking van dit beleid in maatregelen. En de AVG definieert in art. 6.1.f  niet voor niets dat ook bedrijfsbelang een grond kan zijn om inbreuk te maken op de privacy van betrokkenen.
In het hierboven genoemde artikel gaven we ook het onderstaande schema voor de uitvoering.

 

 

 

 

Belangen en risico-afweging

We zullen nu dieper ingaan op de uitvoering.
Allereerst stel je vast welke de omgeving is waarin je organisatie opereert en met welke stakeholders je dus te maken hebt. In de stakeholderanalyse ga je vervolgens na, hoe belangrijk de verschillende stakeholders voor je organisatie zijn en aan welke eisen en behoeften je als organisatie zou moeten voldoen. (Zie ook ‘Checklist stakeholderanalyse ISO 9001 en ISO 27001’.) Hierin neem je nadrukkelijk ook de eisen mee voor de bescherming van de persoonlijke levenssfeer en schadepreventie.
Vervolgens breng je je eigen bedrijfsrisico’s in kaart. Naast het tegemoet komen aan de eisen van je stakeholders, zul je er ook voor moeten zorgen, dat er niet meer geld uitgaat, dan er binnenkomt. (Zie ook ‘Checklist Business Risk Analysis’).
Op grond van deze twee analyses maak je keuzes over hoe je om wilt gaan met je risico’s en dat leg je vast in je beleid als beleidsuitgangspunten. Daarnaast bepaal je de scope van je privacymanagementsysteem. Kort gezegd vallen binnen de scope die bedrijfsprocessen, die je van belang acht om de door jou onderkende privacy risico’s continu te beheersen. Het verdere deel van dit artikel gaat gaat over alles wat binnen de scope ligt.
Om organisaties bij de uitvoering te kunnen ondersteunen hebben we voor de AVG dedicated vooringevulde sjablonen gemaakt, zodat een zeer pragmatische aanpak mogelijk is. We passen deze sjablonen toe in coachingstrajecten en stelt ze ook beschikbaar in de ‘Cursus Privacy Officer (FG) in de praktijk’.  

Uitwerking van het beleid in maatregelen

Als het gaat om de vertaalslag van de eigen beleidsuitgangspunt naar maatregelen, dan ligt het voor de hand de AVG te raadplegen. Daarin staat tenslotte een opsomming van maatregelen die je kunt (of moet) treffen. Maar deze aanpak kent een groot gevaar. Al gauw zul je dan de AVG als uitgangspunt nemen en noteer je alles waaraan je organisatie nu niet voldoet. En dan kom je al snel op een paar honderd items en dus een paar honderd maatregelen die je moet implementeren. Vooral adviseurs met een juridische insteek zijn gek op een dergelijke aanpak. Het houdt ze immers even van de straat.
De basis moet echter zijn de belangenafweging die je eerder hebt gemaakt. Op grond hiervan bepaal je voor de maatregelen uit de AVG drie dingen:

  • hoe belangrijk een maatregel is gezien de risico’s van je organisatie en je stakeholders;
  • hoe je het nu doet;
  • of je het nodig vindt om gelet op de risico’s en belangen de huidige situatie te verbeteren.

Als je dit gedaan hebt, dan kun je hiervan gemakkelijk twee belangrijke documenten afleiden:

  • de interne norm bestaande uit je huidige situatie aangevuld met de verbeterpunten;
  • het verbeterplan met een tijdpad voor de komende drie jaar.

Die interne norm is dus een weergave van jouw interpretatie van de AVG. Daar mag de AP je op afrekenen, uiteraard rekening houdend met de voortgang van het verbeterplan. Ook dit alles vormt onderdeel van de sjablonenset.

Het privacymanagementsysteem

Uiteraard wil je niet alleen een papieren tijger. Het geheel moet ook werkend gemaakt worden. Daarom pas je de plan-do-check-act cyclus toe ofwel de planningscyclus van beleid, planning, uitvoering en control. Omdat je met je interne norm zo dicht mogelijk bij de huidige situatie bent gebleven en bovendien de scope geldt, die je hebt gedefinieerd, is de DO-fase doorgaans eenvoudig. Meestal gaat het hierbij om zaken die aantoonbaar gemaakt moeten worden. En dat gaat in feite om drie dingen:

  • het doen van periodieke checks om aan te tonen, dat de interne norm nageleefd wordt;
  • het afhandelen van incidenten en afwijkingen en daar lering uit trekken;
  • het zorgvuldig omgaan met veranderingen en waar nodig een privacy effect beoordeling uitvoeren.

Ook dit moet niet leiden tot onnodige bureaucratie. Verder wordt eens per (half) jaar een interne audit uitgevoerd (CHECK-fase) om vooral te onderzoeken of de bovengenoemde procedures werken, of het verbeterplan nog op schema ligt en of het geheel nog up-to-date is, gezien ook de wet- en regelgeving. Zo nodig wordt het verbeterplan hierop aangepast. (Zie ook ‘Tips en valkuilen voor de interne auditor’.)
Uiteraard worden de uitkomsten en de aanbevelingen voorgelegd aan de directie. Zij kan het aangepaste verbeterplan goedkeuren of tot de conclusie komen, dat er een aanpassing van het privacy beleid nodig is (ACT-fase).

Aanpak en tijdpad

Het opzetten van dit geheel, zoals in het plaatje is getekend (minus de interne audit), kan in niet al te complexe organisaties meestal in 5 sessies van een dagdeel, waarbij iedere sessie huiswerk oplevert aan de deelnemers. Deze 5 sessies gelden sowieso voor bewerkers, die als scope de dienstverlening aan klanten hanteren of voor organisaties die nauwelijks bijzondere persoonsgegevens vastleggen. Eens per week zo’n sessie is een uitstekende frequentie. Je hebt als organisatie tenslotte meer te doen, maar je houdt zo de vaart er wel in. Vervolgens vergt de DO-fase meestal een maand. Vaak is het goed om daarna 3-6 maanden te wachten met de interne audit. Je hebt dan de tijd om intern wat aan de bewustwording te doen (zie ‘Awareness privacy en informatiebeveiliging niet trainen maar kweken’) en om extern de bewerkersovereenkomsten af te sluiten.
Als je al ISO 27001 gecertificeerd bent, kun je de PLAN-fase meestal in drie sessies doen. De zaken nodig voor de DO-fase heb je dan doorgaans al geregeld en ook de bewerkersovereenkomsten en de awareness zijn meestal op orde. Deze uitbreiding zal dan ongetwijfeld ook weer een boost geven aan het ISO 27001 managementsysteem.
Voor bewerkers is het vaak handig om dit privacy traject te combineren met ISO 27001. (Zie ook ‘De gevolgen van de AVG 2018 voor bewerkers’.) Dat heeft veel toegevoegde waarde voor je klanten en maakt je succesvoller bij het binnenhalen en/of behouden van grotere klanten.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 12 mei 2017


2 Responses to “Je privacy op orde voor de AVG”

  1. Bart Scheffers schreef:

    Heel interessante en pragmatische opzet en aanpak. Wat ik in de praktijk vaak mis is aandacht vanuit hoger management en directie, met name binnen publiekeen organisaties. Daarmee blijft ook broodnodige urgentie achterwege. Hoe dit te veranderen? Hoe dit op de bestuurlijke agenda te krijgen?

    • Wiebe Zijlstra schreef:

      Hallo Bart
      De wet is erop gericht om inbreuk op privacy mogelijk te maken. We zien dan ook dat bijna dagelijks wetten worden aangenomen, die de ruimte voor inbreuk vergroot. Kortom publieke organisaties gaan ervan uit dat veiligheid en fraudebestrijding per definitie belangrijker zijn dan privacy en handelen daar naar. En blijkbaar terecht want de belastingdienst komt weg met het grootste datalek, wat ooit in Nederland heeft plaatsgevonden.
      Dit veranderen is als trekken aan een dood paard. Dir verandert pas als de AP een paar rake klappen uitdeelt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *