AVG is niet alleen een IT-aangelegenheid

02 januari 2018 · Leestijd 5 min.

Op woensdag 13 december 2017 ging de uitvoeringswet over gegevensbescherming naar de Tweede Kamer. Deze wet geeft uitvoering aan de Europese Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR) die op 25 mei 2018 in werking treedt.

Onderzoeksbureau Team Vier voerde in opdracht van Microsoft Nederland onderzoek uit naar de stand van zaken met betrekking tot de AVG. Ze ondervroegen ruim 600 Nederlandse directeuren en IT-managers. Hieruit blijkt dat IT-managers over het algemeen beter bekend zijn met de AVG dan directeuren en er regelmatiger over praten.

Alle respondenten zijn weliswaar bekend met deze nieuwe regelgeving, maar niet iedereen weet precies of deze op hun organisatie van toepassing is. De IT-managers (84 procent) zijn zich hier meer van bewust dan de directeuren (72 procent). Van de IT-managers is overigens 68 procent positief over de AVG tegenover 57 procent van de directeuren. Duidelijkheid rond richtlijnen, meer transparantie en verbeterde bescherming van persoonsgegevens zijn hiervoor aangedragen redenen. Toch bleek het risico op boetes niet nadrukkelijk bekend bij medewerkers. Slechts een kleine minderheid (6 procent) gaf aan dat de organisatie nu al aan de AVG-eisen voldoet en slechts een krappe meerderheid (51 procent) grijpt naleving aan om processen te verbeteren.

AVG gaat de IT voorbij

Het is opmerkelijk maar niet verrassend te noemen dat het de IT-managers zijn die het meest betrokken zijn. Opmerkelijk omdat de kern van de AVG, zorgvuldige verwerking en bescherming van persoonsgegevens, niet altijd voortkomt uit IT-gerelateerde overwegingen. Het verwerken van persoonsgegevens is een keuze gemaakt door het management, bijvoorbeeld vanwege marketing-gedreven doelen. Daarmee is naleving een verantwoordelijkheid van de gehele organisatie. De AVG vraagt vooral om bewustwording en het aanpassen van hoe de organisatie nadenkt over het verzamelen, verwerken, beheren en beveiligen van persoonsgegevens. In de praktijk betekent dit een cultuurverandering en nieuwe manieren van werken die ondersteund kunnen worden door modernisering van de IT-omgeving. Bovenstaande is echter niet verrassend, omdat ik in discussies rond de AVG vooral IT-verantwoordelijken opmerk, terwijl die discussie ook aan de bestuurstafel zou moeten worden gevoerd.

Tastbaar

In gesprekken met partners en klanten merk ik dat de AVG voor velen nog niet heel tastbaar is. Persoonlijk verwijs ik graag naar twee specifieke artikelen van de verordening – de artikelen 5.1 en 5.2, voor ingewijden. Die geven inzicht in de basisbeginselen van de verordening. En leiden automatisch tot de vraag: wil ik persoonsgegevens verzamelen en verwerken? Met andere woorden: heb ik een rechtmatige grond en ben ik daar transparant over?

In een digitale wereld zijn die redenen niet moeilijk te vinden: je organisatie wil klanten een persoonlijke ervaring bieden en dat vereist het verzamelen van persoonsgegevens. De kernvraag ‘wil ik persoonsgegevens opslaan?’ is doorgaans niet een beslissing van de IT-afdeling.

Als bovenstaande het geval is – en dat zal het bij nagenoeg elke organisatie zijn – is de vervolgvraag wát je gaat verzamelen. Want je moet ten eerste zorgen dat je gegevens verzamelt die passen bij het doel (doelbinding) en ten tweede ook niet meer verzamelt dan nodig is. De AVG-tekst noemt dat laatste ‘minimale gegevensverwerking’. Dit zorgt voor duidelijkheid en minder risico’s. De mate waarin je persoonsgegevens verzamelt, is uiteindelijk ook een zaak die goed besproken moet worden in de directiekamer.

Als deze zaken duidelijk geadresseerd zijn, kun je praktisch aan de slag met het inrichten van processen om de persoonsgegevens goed te beschermen. Samenvattend zijn de volgende zaken belangrijk:

Identificeren – het in kaart brengen van alle persoonsgegevens binnen jouw organisatie en waar ze zich bevinden.

Beheren – het managen van de wijze waarop persoonsgegevens worden gebruikt en van de manier waarop ze toegankelijk zijn.

Beveiligen – het nemen van veiligheidsmaatregelen om kwetsbaarheden en gegevensinbreuken te voorkomen, te traceren en aan te pakken.

Rapporteren – het reageren op verzoeken omtrent gegevens, rapporteren van gegevensinbreuken en -lekken en beschikbaarheid van de vereiste documentatie.

In control

Het adresseren van bovenstaande zaken maakt het mogelijk om in control te worden en dat is precies de bedoeling van de AVG. Juist daarom is de AVG ook een uitgelezen kans om al je processen nog eens goed te bekijken en verbeteringen door te voeren, daar waar dat nuttig en nodig is. Want in control zijn levert je veel voordelen op: je vermindert de risico’s en vergroot de efficiency. Je kunt in dit verband ook meteen duidelijkheid scheppen in de vraag wie waar verantwoordelijk voor is. In het managementteam wordt meestal besloten welke persoonsgegevens worden verzameld. Vervolgens adviseert IT vaak, helpt bij het ‘hoe’ en zorgt ervoor dat data goed beschermd is.

Keuzes maken

Wanneer je nog moet beginnen met AVG binnen je organisatie is het raadzaam om een gestructureerd proces te volgen. Daarin is het belangrijk goed na te gaan waar je de grootste risico’s loopt in de bescherming van persoonsgegevens. Het wordt heel moeilijk om tussen nu en 25 mei 2018 alles in één keer te doen als je organisatie omvangrijk is. Je zal je dus op de belangrijkste zaken moeten richten.

Het goed evalueren van risico’s – en kansen – past ook bij uitgangspunten van de AVG, zoals het nemen van passende technische en organisatorische maatregelen. Bepaal wat op de korte termijn echt belangrijk is en begin daarmee. Daarnaast is het zaak om de AVG niet te onderschatten. Het zal de nodige tijd en energie vragen om alles goed voor te bereiden en uit te voeren. En als je dan toch bezig bent, is dit ook het juiste moment om te checken hoe je met het implementeren hiervan de organisatie meer kan laten bereiken.

Ga je zelf met de AVG aan de slag, dan vind je online veel achtergrondinformatie en nuttige tools, zoals de AVG-scan en een handige whitepaper met een stappenplan van Microsoft. Daarnaast zijn er tal van Microsoft-partners die veel kennis en expertise hebben opgebouwd op het gebied van de AVG en die kunnen helpen, waar en wanneer dat nodig mocht zijn. Kijk voor meer informatie op onze website of download hier de AVG infographic.