Print:

Dé 4 topics van het AVG Countdown Congres

Redactie IIR, Trainingen en congressen

LinkedIn profiel

Met de AVG voor de deur stond Safe Harbor op het twee-daagse AVG Countdown Congres van kennisorganisatie IIR. Tijdens dit goed bezochte congres spraken we als kennispartner veel organisaties over hun uitdagingen omtrent de implementatie van het AVG. Wat ons opviel was dat organisaties veelal op zoek zijn naar overzicht in de informatiebrij en de juiste prioriteiten willen stellen. Ze stelden dan ook veel gerichte vragen. We hebben de vragen en inzichten uit meer dan 30 verschillende talks en workshops voor u verpakt in 4 belangrijke topics.

1. Hoe waarborg ik mijn accountability?

De AVG is heel duidelijk: als verantwoordelijke moet je kunnen aantonen dat je de wet naleeft.

Tijdens de talk van Joke Bodewits, advocate Hogan Lovells, werd gesproken over hoe organisaties aantoonbaar kunnen maken dat zij AVG compliant zijn. Zij begon met het belang van bewustwording. Met bewustwording zetten organisaties een eerste stap in de richting van accountability. Zij weten immers dat er iets moet gebeuren en zijn hiermee bezig. Na bewustwording komt het creëren van een cultuur waarin incidenten direct worden gemeld. Deze meldingen kunnen het beste worden opgenomen binnen een register incidenten response plan.

“Kies voor een passende methode”

Bodewits licht ook het belang van goede verwerkingsovereenkomsten uit waarbij wordt aangegeven om een aansprakelijkheidsbepaling of een geschillenclaim op te nemen in de overeenkomst. Zo wordt duidelijk wie de verwerkersverantwoordelijke is en wanneer er sprake is van gezamenlijke verantwoordelijkheid. Organisaties moeten niet vergeten dat wanneer zij ergens niet zeker van zijn, het probleem altijd voorgelegd kan worden aan de Autoriteit Persoonsgegevens.

Bodewits sluit af met het belang van passende methodes. Kies als organisatie voor methodes die bij de algehele situatie past, zodat er geen stappen worden genomen welke later onnodig blijken.

Ook interessant: Timeline 2018- Alle Privacy, Security & Auditing deadlines.

2. Hoe kan ik mijn verwerkingsregister inrichten?

Het ‘register van verwerkingsactiviteiten’ brengt verwerkingen van de organisatie in kaart. Het biedt informatie over verwerkingen met hoge risico’s en is de basis voor verdere acties.

Simone Fennell, Privacy adviseur Gemeente Tilburg startte de sessie met de vraag:” Wie is begonnen aan het verwerkingsregister.” Zij beantwoordde deze vraag zelf door aan te geven dat het beter is om eerst het gegevensmanagement neer te zetten en dan te starten met het verwerkingsregister. Zij ziet het verwerkingsregister als einddoel, niet als startpunt.

“Zorg voor concrete gegevensmanagement”

De eerste stap voor gegevensmanagement is het in kaart brengen van waar de organisatie nu staat. Wat doen we nu eigenlijk? Wat is er al? Hebben we een kleine organisatie waarin excelbestanden voldoende zijn. Of is de organisatie zo groot dat er een tool moet worden aangeschaft om de verwerking optimaal te registreren?

Denk vervolgens na wat er allemaal in het ‘ bakje van gegevens’ moet komen. Beschrijf dit gedetailleerd of op hoofdlijnen.

Daarnaast is het van belang om het management hier in mee te nemen. Stel hen op de hoogte van alles wat gebeurt. Betrek proceseigenaren bij het geheel voor het beschrijven en vastleggen van de processen.

3. Hoe blijf ik in control?

Naast AVG compliance is het natuurlijk van belang om in control te blijven tijdens de uitvoer van werkzaamheden. Een goed voorbeeld van de controle houden is de werkwijze van Heineken. Anna den Hartog, Global Privacy Officer Heineken, legde haar genomen stappen uit. Allereerst werden binnen alle vestigingen van Heineken, in alle landen, Privacy Managers aangesteld. De nadruk van deze aanstelling werd gelegd op hun eigen verantwoordelijkheid voor de privacy binnen hun vestiging. Daarnaast werden aan de corporate rules duidelijke privacy procedures toegevoegd. Hierbinnen valt ook de regel dat alle Privacy Managers verantwoording moeten afleggen aan de Privacy Officer. Op deze manier behoudt elke vestiging haar eigen verantwoording, maar krijgt de Privacy Officer inzicht in de gang van zaken van alle vestigingen. Zo heeft Heineken één overkoepelend beoordelingsorgaan. Kleinere organisaties kunnen een dergelijke structuur opzetten met Privacy Managers per afdeling.

“Blijf in control dankzij beleidsvoering!”

De workshop van Safe Harbor gaf een goede aanvulling op het thema ‘in control blijven’. Martijn Van der Veen benadrukt het gevaar van het zetten van stappen zonder hier beleid van te maken. Het risico ontstaat dan dat maatregelen als los zand aan elkaar hangen. Het (verplichte) privacybeleid biedt een waardevol instrument voor sturing en samenhang. Met beleidsvoering kunnen organisaties structureel aan de slag met persoonsgegevensbescherming. Het geeft inzicht in de werkzaamheden, de vervolgstappen en zorgt dat het thema op de agenda blijft staan binnen de organisatie.

4. Wat als ik na 25 mei nog niet klaar ben?

Het is natuurlijk heel goed mogelijk dat organisaties na 25 mei 2018 nog niet 100% AVG compliant zijn. Deze opmerking kwam regelmatig naar voren tijdens de workshop van Safe Harbor. Bij een dergelijke constatering kunnen organisaties twee dingen doen. Of ze gaan keihard aan de slag om alles alsnog op tijd voor elkaar te krijgen. Een risico is dat overhaast maatregelen worden getroffen en niet beklijven. Of ze leggen een solide basis waarmee zij aan kunnen tonen op de goede weg te zijn. Martijn van der Veen adviseert het laatste. Belangrijk is te achterhalen wat de reden is waarom het geheel nog niet is geïmplementeerd. Bedenk hoe dit anders kan en zet vervolgens de eerste basisstappen:

  • Krijg inzicht in de werkzaamheden, wat doen we nou eigenlijk
  • Achterhaal welke persoonsgegevens de organisatie gebruikt
  • Beschrijf op welke manier er wordt omgegaan met deze persoonsgegevens
  • Inventariseer de risico’s, welke dreigingen kunnen een gevaar vormen voor de bescherming van de betrokkene
  • Wanneer bovenstaande in kaart is gebracht kunnen er stappen worden gezet om daadwerkelijke maatregelen in te voeren.

Voor meer informatie over Safe Harbor en haar Privacy Management Systeem zie de website.

Voor praktische trainingen over het voldoen aan uw AVG-verplichtingen, de DPO of FG-functie of leergang Gecertificeerd Data Protection Officer (CDPO) bekijk hiervoor het privacy platform van IIR.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten