Print:

AVG-compliance: drie data protection officers delen hun best practices

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

De Algemene verordening gegevensbescherming (AVG) brengt voor organisaties veel nieuwe verplichtingen mee. De open normen in de wet maken het er niet makkelijker op. Drie best practices om effectief te werken aan AVG-compliance, afkomstig uit de praktijk van ervaren privacy experts.

Privacy Officer 2.0 | IIR

 

“Protocollen hebben pas zin, als je de data en de datastromen kent.” Dat zegt Thomas van Essen, partner bij SOLV Advocaten, over de naleving van nieuwe verplichtingen uit de Algemene verordening gegevensbescherming (AVG). Om bijvoorbeeld het register van verwerkingsactiviteiten, het protocol voor de omgang met de meldplicht datalekken en de werkwijze rond data protection impact assements (DPIA’s) op orde te krijgen, is het noodzakelijk om inzicht te hebben in de persoonsgegevens die de organisatie verzamelt en bewaart. Dat klinkt makkelijker dan het is, waarschuwt Van Essen. “Het inzichtelijk maken is een behoorlijke exercitie die veel tijd in beslag neemt. De technologie heeft de afgelopen tien jaar een enorme vlucht genomen. Je kunt je voorstellen dat de manier waarop jaren geleden informatie werd verwerkt heel anders is dan nu. Behalve dat organisaties hier onvoldoende zicht op hebben, zijn veel contracten en documenten niet meer toereikend.”

Inmiddels zijn veel organisaties serieus aan de slag met de AVG-compliance. Drie aandachtspunten om daarbij in de gaten te houden.

Gegevensmanagement als basis

Goed gegevensmanagement is essentieel voor AVG-compliance. Sterker nog, het is misschien wel het belangrijkste thema uit de privacywet. Dat zegt Wolfje Mijnders, eigenaar van adviesbureau Wolf Privacy Solutions, Privacy Officer a.i. bij de gemeente Amersfoort en hoofddocent van de training Datamanagement. “Gegevensmanagement is de fundamentele basis voor privacybeleid. Pas als je weet welke gegevens je in huis hebt en hoe je daarmee omgaat, kan je de risico’s voor dataprotectie inzichtelijk maken en de passende maatregelen nemen.”

“De basis onder alles is je informatiemanagement”, zegt ook Simone Fennell, privacy-adviseur van de gemeente Tilburg en privacytrainer bij Privacy Company. “Je moet weten welke gegevens je in huis hebt, hoe de gegevensstromen lopen en hoe die zijn beveiligd. Dat inzicht heb je nodig om risico’s te kunnen analyseren en Privacy Impact Assessments uit te kunnen voeren.”

Dataprotectie als continu proces

Privacy is een continu proces, benadrukken ervaren data protection officers. “Het draait om ‘demonstrating compliance’, en dat kun je alleen als je onderhoud pleegt,” waarschuwt Fennell. Onder de verantwoordingsplicht van de AVG valt onder andere het up-to-date houden van het register van de verwerkingsactiviteiten. “Als je goed in kaart hebt gebracht welke gegevens en verwerkingen je hebt, dan moet het mogelijk zijn om het register met één druk op de knop te genereren. Ben je niet in staat om een verwerkingsregister te genereren, dan is dat een teken van een veel groter probleem.”

Het opzetten en bijhouden van een register van verwerkingsactiviteiten is ook veel meer dan een administratieve klus, benadrukt Mijnders. “Veel organisaties denken: we maken even een register en vullen het snel in. Maar de verantwoordingsplicht is een continu proces. Het verwerkingsregister moet je onderhouden. Dan behoudt het ook waarde. Het kan dan bijvoorbeeld helpen om inzageverzoeken efficiënt af te handelen.”

Multidisciplinaire aanpak

De European Data Protection Board (EDPB), die bestaat uit de voorzitters van de nationale privacytoezichthouders in de Europese Unie, publiceert regelmatig werkdocumenten, opinies en guidelines met uitleg over de toepassing van de AVG en andere privacykwesties. Zo heeft de EDPD, de opvolger van de Artikel 29-werkgroep, al zijn licht laten schijnen over het recht op dataportabiliteit en de Data Protection Officer. Ook zijn er richtlijnen verschenen voor het bepalen van de leidende toezichthouder.

Met de guidance van de EDPD is er veel toegelicht over een aantal open normen in de AVG. Toch is er nog veel onduidelijk en ingewikkeld, zegt Friederike van der Jagt, privacy-advocaat bij Hunter Legal en lid van de privacy-adviescommissie van de gemeente Amsterdam. “Hoe we begrippen als ‘passend’, ‘op grote schaal’ en ‘systematisch’ in de ogen van de privacytoezichthouders echt moeten uitleggen, weten we pas na de eerste onderzoeken naar vermeende overtredingen van de AVG”, geeft Van der Jagt als voorbeeld.

De afwezigheid van jurisprudentie is geen reden om achterover te leunen, aldus Van der Jagt. Een privacy- en securitycommissie waarin professionals van alle afdelingen zitten – van Legal en IT tot marketing, pr en communicatie – kan helpen om de naleving van de AVG naar een hoger plan te tillen. “Legal wil de AVG niet volledig op zijn bordje krijgen, en IT wil dat ook niet. De verschillende afdelingen moeten samenwerken: Legal kan immers zelf niet de beveiliging in de IT-systemen aanpassen, maar kan wel aangeven wie wel of niet toegang zou moeten/mogen hebben tot bepaalde persoonsgegevens.” Ook de interne samenwerking tussen andere afdelingen binnen een organisatie is noodzakelijk. “In geval van een datalek wil je niet alleen juridisch correct handelen, maar ook reputatieschade voorkomen. Het is dan voor Legal zaak om nauw samen te werken met de pr- en communicatieafdeling.”

Tot slot: kost het je als privacy officer moeite om AVG-compliance op de interne (management)agenda te houden? Het helpt om gegevensmanagement niet uitsluitend te zien als een juridische verplichting maar om ook oog te hebben voor de waarde die het voor een organisatie kan hebben, aldus Mijnders. “Uit de data-inventarisatie kan allerlei informatie worden afgeleid die helpt om bijvoorbeeld de dienstverlening en concurrentiepositie te verbeteren.” Met een goed overzicht van de beschikbare (persoons)gegevens kan een organisatie bijvoorbeeld werkprocessen efficiënter inrichten en risico’s beter beheersen – en daardoor beter presteren dan concurrenten.

Nog meer best practices te weten komen waarmee je als privacy officer of Functionaris voor de Gegevensbescherming de AVG-compliance op orde houdt? Volg de cursus Privacy Officer 2.0 of de praktijkcursus FG in de publieke sector. Of ga voor de beroepsopleiding Certified Data Protection Officer, die wordt afgesloten met een examen en diploma.

Verder lezen?

Laat uw e-mail achter en ontvang de brochure van de 4-daagse cursus Privacy Officer 2.0 direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten