Print:

Hoe blijft u compliant met de AVG?

Ferry Waterkamp, Journalist

LinkedIn profiel

Op 25 mei 2018 moeten alle organisaties die persoonsgegevens van Europese burgers verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG). “Maar daar zit de uitdaging niet”, stelt IT-auditor Mischa van der Vliet van AuditConnect. “De grote uitdaging is ervoor zorgen dat de organisatie een jaar later nog steeds compliant is.” Hoe houd je de privacybescherming op peil?

Met de deadline in zicht moeten veel organisaties volgens Van der Vliet ‘rennen’ om op tijd klaar te zijn voor de AVG. “Privacy was de afgelopen twintig jaar het ondergeschoven kindje. Pas onder de AVG is de focus echt op het onderwerp komen te liggen.”

Dit betekent volgens de IT-auditor dat zelfs basale dingen vaak niet op orde zijn. “Je ziet veel organisaties worstelen met bijvoorbeeld het opstellen van een privacybeleid en het verwerkingsregister, en met hoe ze een Privacy Impact Assessment (PIA) moeten aanpakken. Het mkb is vooral met security en nog helemaal niet met privacy bezig. Over het algemeen kun je stellen dat privacy vijf jaar achterloopt op security.”

Compliant blijven is de uitdaging

Het lijkt een weinig positief verhaal, over organisaties die nu nog moeten gaan ‘rennen’ terwijl ze nog worstelen met de basis. En toch is dat niet het verhaal dat Van der Vliet kwijt wil. Sterker nog: hij heeft er wel vertrouwen in dat een groot deel van de organisaties op 25 mei 2018 gewoon voldoet aan de AVG. Zeker de grotere organisaties. “Daar zit niet de uitdaging.”

“De grote uitdaging is ervoor zorgen dat je een jaar later nog steeds compliant bent”, aldus Van der Vliet. “Er is nu veel aandacht voor privacy en de AVG, maar het zou me niet verbazen als dat over een jaar een stuk minder is. De ‘day after’ 25 mei 2018 gaan we weer gewoon andere dingen doen.”

Wat kunnen organisaties doen om niet alleen compliant te worden maar vooral ook te blijven na 25 mei 2018? Van der Vliet zet een aantal mogelijke stappen uiteen:

  1. Kijk waar je staat

Volgens de IT-auditor is het belangrijk om zo snel mogelijk te bepalen waar je staat en wat er nog moet gebeuren om compliant te zijn met de AVG. “Het uitvoeren van een nulmeting of een PIA zijn manieren om antwoorden op deze vragen te krijgen”, aldus Van der Vliet.

Wel merkt Van der Vliet daarbij op dat het gebrek aan richtlijnen auditing lastig maakt onder de AVG. “De richtlijnen voor het auditen van privacybescherming dateren allemaal van rond 2005. Dat zijn richtlijnen van bijvoorbeeld het toenmalige College bescherming persoonsgegevens en van NOREA, de beroepsorganisatie van IT-auditors.”

“Deze richtlijnen bieden echter geen houvast voor de nieuwe zaken in de AVG en geven geen invulling aan de open normen die in de Europese privacyverordening zitten”, vervolgt Van der Vliet. “Bijvoorbeeld de Europese privacytoezichthouders verenigd in de WP29 geven die invulling in hun ‘guidelines’, maar het is zeker wenselijk als er meer kaders komen.”

  1. Richt een verbetercyclus in

 “Het is cruciaal dat we de focus op privacy vasthouden”, benadrukt Van der Vliet. “Daarvoor is het heel erg belangrijk dat organisaties een ‘plan-do-check-act’-cyclus hanteren. Implementeer niet alleen de maatregelen die in het beleid zijn opgenomen, maar check ook de effectiviteit en act door zo nodig bij te sturen. In de praktijk zie ik helaas geregeld dat er wel een beleid wordt opgesteld, maar dat de verbetercyclus niet is ingericht. Dan zijn alle inspanningen eigenlijk zonde van de tijd.”

  1. Begin zo snel mogelijk

Wacht niet met de voorbereidingen op de AVG. Van der Vliet met een glimlach: “Maar dat advies is eigenlijk op alles van toepassing.”

Meer weten over Dataprotectie en Privacy voor de Bancaire Sector? Schrijf u dan nu in voor deze 2-daagse training die op 26 september 2018 van start gaat.

Dataprotectie en Privacy voor de bancaire sector | IIR

 

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten