Print:

AVG-compliance: de noodzaak van auditing privacy

Redactie IIR , Trainingen & Conferenties

LinkedIn profiel

Het kan elke organisatie overkomen dat toezichthouders zoals de Autoriteit Persoonsgegevens (AP) en Autoriteit Consument en Markt (ACM) op de stoep staan. Privacy audits kunnen onaangename verrassingen voorkomen. Sabine Straver, privacy consultant bij DMCC, vertelt over de uitdagingen waar organisaties nu voor staan.

AVG-compliance | IIR

 

“Tijdens een privacy audit kijken we aan de ene kant naar de data en verwerkingen binnen de organisatie, en aan de andere kant naar de documentatie en processen die zijn ingericht om een zorgvuldige en veilige omgang met data te borgen. Naar aanleiding van de audit komen blinde vlekken, verbetermogelijkheden en actiepunten naar voren, waarmee een organisatie vervolgens praktisch aan de slag kan”, vertelt Sabine Straver, privacy consultant bij DMCC, over privacy auditing. “Omdat wij weten hoe de Autoriteit Persoonsgegevens te werk gaat bij een handhavend onderzoek, kijken wij vanuit die bril naar een organisatie. Op die manier kan de organisatie optimaal leren van een audit.”

Commitment op managementniveau

“De meeste organisaties voldoen inmiddels redelijk aan de documentatieplicht zoals die geldt onder de Algemene verordening gegevensbescherming (AVG)”, vertelt Straver, die tijdens de training AVG-compliance een sessie verzorgt over privacy audits. “Er is bijvoorbeeld een verwerkingsregister opgesteld, een protocol datalekken aanwezig en een instructie over de omgang met rechten van betrokkenen beschikbaar.” De uitdaging ligt nu vooral in de implementatie van het beleid. “De kunst is om het verwerkingsregister actueel te houden en de werkprocessen periodiek te controleren en zo nodig aan te passen, in lijn met de Plan-Do-Check-Act cyclus.”

Een belangrijke factor voor AVG compliance is volgens Straver het commitment op managementniveau. “Privacy dient door het management als strategisch risico onderkend te worden en moet een vaste plaats op de agenda krijgen. Het is essentieel dat het management aan de business duidelijk maakt dat privacy belangrijk is en hierbij een voorbeeldfunctie vervult.” Daarnaast kan het management ruggesteun bieden aan de Privacy Officer. “Bepaalde afdelingen, bijvoorbeeld  marketing, kunnen privacy als een lastige hindernis ervaren. Dan is de juiste attitude van een manager heel belangrijk. Bovendien dient het management ervoor zorgen dat de Privacy Officer voldoende mogelijkheden en slagkracht heeft om daadwerkelijk toezicht en controle uit te oefenen.”

Meedenken met de business

“Privacy Officers worden soms door collega’s gezien als een soort politieagent. Het is dus niet per definitie de meest populaire functie – daar moet je wel mee kunnen omgaan”, signaleert Straver. “Er wordt nogal eens gedacht dat diverse handelingen of werkzaamheden niet meer mogen onder de AVG. Dat kan medewerkers verlammen. Het is fijn als je als een Privacy Officer mythes en misvattingen kan wegnemen en samen met de business meedenkt over wat er nog wél mogelijk is binnen de kaders van de wet.”

“Mijn tip is: zorg dat je voldoende kennis, tijd en opleidingsmogelijkheden hebt om je functie uit te oefenen en zoek zo nodig advies, hulp en ondersteuning bij specifieke vraagstukken,” adviseert Straver aan Privacy Officers die voor opgaven met compliance en auditing staan. DMCC biedt bijvoorbeeld Remote Privacy Officer, een dienst waarmee Privacy Officers altijd een helpdesk onder handbereik hebben.

Dichtbij de werkvloer

Juridische kennis is handig, maar niet doorslaggevend voor het succes van een Privacy Officer, vindt Straver. “Het belangrijkste is dat de Privacy Officer betrokken is bij de organisatie en een goed beeld heeft van de werkprocessen en de gegevensverwerkingen die er daadwerkelijk plaatsvinden. Een Privacy Officer moet begrijpen wat het belang van data is voor de organisatie en wat de (praktische) consequenties zijn van de AVG voor de core business.” Straver noemt als voorbeeld de eis uit de AVG dat een organisatie passende bewaartermijnen hanteert. “Je moet dan bepalen wat voor jouw organisatie passende bewaartermijnen zijn. Daarvoor moet je weten waarvoor persoonsgegevens worden gebruikt en wat het betekent als data worden geanonimiseerd of vernietigd.”

Straver drukt Privacy Officers op het hart om dichtbij de dagelijkse werkpraktijk te blijven. “Het zijn nu eenmaal de mensen op de werkvloer die ervoor zorgen dat een organisatie daadwerkelijk compliant handelt. Daarnaast moet de Privacy Officer op tijd worden aangehaakt als er nieuwe diensten, producten of marketingcampagnes worden ontwikkeld. Je organisatie moet je weten te vinden en durven te benaderen!“

In 2019 een volgende stap zetten met AVG-compliance en risicogericht met privacy management aan de slag? Volg dan de tweedaagse training AVG-compliance.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.