Print:

AVG-compliance: van project naar beleid

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Rond de invoering van de Algemene verordening gegevensbescherming (AVG) hebben organisaties allerlei acties ondernomen op het vlak van dataprotectie. Een langetermijnbeleid is essentieel om de compliance te borgen. Drie thema’s om in een privacybeleid te verwerken.

Europa is nu eens toonaangevend, kopte het FD in 2018. De krant verwees naar de komst van de General Data Protection Regulation (GDPR). Met de nieuwe privacywet zou de Europese Unie een wereldwijde koploper zijn. Landen zoals de Verenigde Staten en Japan zouden belangstelling hebben om onderdelen van de wet over te nemen. Het is op dit moment de vraag of dat daadwerkelijk gaat gebeuren. Het is wel duidelijk de Europese toezichthouders werk maken van de handhaving van de GDPR. Zo kregen toonaangevende spelers zoals Uber, Google en Facebook al boetes opgelegd.

De handhaving maakt duidelijk dat organisaties na de implementatie van de Algemene verordening gegevensbescherming (AVG) niet achterover kunnen leunen. AVG-compliance is geen eenmalige exercitie, maar vraagt om structurele aandacht. Jean Paul van Schoonhoven, directeur van Legal2Practice en docent van diverse IIR-trainingen over dataprotectie, spreekt in dit verband van groeien in privacyvolwassenheid. In AVG-implementatietrajecten zijn doorgaans de basisstappen gezet, zoals de uitvoering van een data protection impact assessment (DPIA), de organisatie van een awareness training en de aanstelling van een privacy officer. Maar dan begint eigenlijk pas het echte werk, aldus Van Schoonhoven. “Het gaat erom incidenten te voorkomen, dataprotectie in te bedden in bedrijfsprocessen, een cyclus van plan-do-check-act in te voeren, de beginselen van gegevensbescherming toe te passen op de werkprocessen én bewuste (morele) keuzes te durven maken daar waar de wet te weinig invullingen en oplossingen biedt.”

Een goed doordacht privacybeleid voor de langere termijn geeft privacy officers handvatten om met AVG-compliance bezig te blijven. Wat zijn de ingrediënten voor een effectief privacybeleid?

1. Doelstellingen en ambities

Het is al vaak gezegd en privacy officers zullen het vast ook vele malen herhalen: honderd procent compliance bestaat niet. “Compliance is altijd een momentopname. Want als je vandaag compliant bent, ben je dat morgen dan ook? De wereld staat niet stil. Interpretaties en omstandigheden ontwikkelen zich, organisaties ontwikkelen zich, de maatschappij ontwikkelt zich…”, aldus Frank van Vonderen, partner van Verdonck, Klooster & Associates en docent van onder andere de opleiding tot Certified Data Protection Officer (CDPO).

Compliance is bij uitstek een langetermijnambitie, die wordt opgepakt vanuit een integraal beleid. In een privacybeleid staan dan ook realistische, concrete doelstellingen, die idealiter SMART zijn geformuleerd en kunnen rekenen op draagvlak binnen de organisatie.

2. Monitoring en rapportage

Rond de invoering van de AVG hebben veel organisaties het tienstappenplan van de Autoriteit Persoonsgegevens toegepast. Inmiddels zijn er talloze andere quickscans, checklists en toolkits verschenen. Op basis van concrete doelstellingen en ambities stellen veel privacy officers nu projectplannen en roadmaps op. Het risico van deze aanpakken is dat AVG-compliance daarmee een tijdelijk project wordt. Maar een projectmatige aanpak staat op gespannen voet met AVG-compliance. Zoals Van Vonderen stelt: “AVG inrichten als project is niet realistisch. De werkelijke vraag is namelijk op welke manier privacy duurzaam kan worden geborgd binnen een organisatie.”

Monitoring is dan ook een kernonderdeel van een succesvol privacybeleid. Hoe verloopt de uitvoering van plannen? Op welke lijnen is extra actie nodig? Zijn de budgetten nog toereikend? Is bijstelling van ambities noodzakelijk? Door regelmatig te rapporteren over de voortgang kan zo nodig tijdig worden bijgestuurd. Bovendien zijn rapportages een uitgelezen kans voor privacy officers om de doelstellingen en ambities op de agenda van de organisatie te houden.

3. Awareness en draagvlak

Het ontwikkelen en uitvoeren van een privacybeleid zijn geen opgaven die volledig op het bord van de data protection officer liggen. De betrokkenheid van collega’s en het management is essentieel. Allereerst is het commitment aan de top noodzakelijk om te zorgen dat de privacy officer over voldoende ruggensteun en budget beschikt. Daarnaast is de interne awareness van de verplichtingen uit de AVG natuurlijk een voorwaarde voor de naleving van de regels. Zoals Bram Hoovers, privacy officer bij Philips, het samenvat: “Awareness is key. Je kunt nog zulke goede policies en procedures hebben, maar als medewerkers niet op de hoogte zijn van wat persoonsgegevens zijn en welke regels er gelden dan komt daar niets van terecht. De AVG moet echt in het DNA van de organisatie komen te zitten.”

Daarom is het belangrijk dat het privacybeleid aandacht besteedt aan awareness en draagvlak voor de doelstellingen en plannen. Dat kan bijvoorbeeld door in het beleidsplan acties op te nemen zoals het activeren van contactpersonen en ambassadeurs binnen de organisatie, het verankeren van dataprotectie in de werkprocessen en het periodiek organiseren van activiteiten om de awareness op peil te houden.

Privacybeleid als puzzel

Een privacybeleid is altijd maatwerk. Op dit moment zijn er ook nog maar weinig kant en klare normenkaders om compliance aan te toetsen. Het ontwikkelen van een privacybeleid dat is afgestemd op de organisatie kan dan ook best een puzzel zijn. Het goede nieuws: er is een groeiend aantal gidsen en opleidingen die privacy officers verder helpen. Want misschien wel de belangrijkste must-do voor data protection officers die werken aan een privacybeleid is om het niet alleen te doen.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure van AVG-Compliance direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten