Print:

Zo kunnen organisaties groeien in privacy volwassenheid

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Voor organisaties die vol hebben ingezet op de implementatie van de Algemene verordening gegevensbescherming (AVG) is de tijd aangebroken om nieuwe stappen te maken. Maar hoe werkt een groei in privacy volwassenheid? Jean Paul van Schoonhoven geeft drie tips.

Privacy Officer 2.0 | IIR

 

De implementatie van de Algemene verordening gegevensbescherming (AVG) is eigenlijk de aanloop naar het echte werk. Dat zegt Jean Paul van Schoonhoven, directeur van Legal2Practice en docent van diverse IIR-trainingen over dataprotectie. Hij vergelijkt basisstappen – zoals de uitvoering van een data protection impact assessment (DPIA), de organisatie van een awareness training en de aanstelling van een privacy officer – met de warming-up voor een wedstrijd. “Het betekent in feite dat je klaar bent voor het echte werk. Maar de wedstrijd moet dan nog wel gespeeld worden. Het gaat erom incidenten te voorkomen, dataprotectie in te bedden in bedrijfsprocessen, een cyclus van plan-do-check-act in te voeren, de beginselen van gegevensbescherming toe te passen op de werkprocessen én bewuste (morele) keuzes te durven maken daar waar de wet te weinig invullingen en oplossingen biedt.”

Van Schoonhoven benadrukt dat het invoeren van een verwerkingsregister en het uitvoeren van risk asessments nog niets zegt over de rechtmatigheid van een concrete verwerking van persoonsgegevens. “Implementatie is één ding, maar een vraagstuk materieel kunnen beantwoorden is natuurlijk altijd afhankelijk van de specifieke context van een verwerking, de concrete inrichting van de gegevensstromen en de toepassing van principes zoals proportionaliteit en subsidiariteit.”

De stappen na een implementatietraject worden ook wel een groei in het beheersingsniveau of in de privacy volwassenheid genoemd. Maar hoe werkt dat precies? Drie tips.

Ga anders denken

De meeste organisaties zijn bij de invoering van de AVG gestart met de dingen die ze moeten doen. Het is nu tijd om anders te denken, zegt Van Schoonhoven. “Je moet kijken naar wat je geregeld moet hebben, maar ook naar wat je wilt bereiken en naar wat je mag – van de wet en gezien de maatschappelijke verwachtingen over privacy. Door alleen bezig te zijn met wat er allemaal moet, kom je niet toe aan wat je wilt en mag. Een organisatie met een goed privacy volwassenheidsniveau kijkt juist nadrukkelijk naar data ethiek vanuit de stappen willen, mogen, moeten.”

Blijf bezig

“Als het gaat om data zijn we net hoarders, van die mensen die bang zijn om iets weg te gooien. Maar AVG-compliance betekent dat je flink moet gaan opruimen in gegevens en systemen. Weg met de data obesitas!”, zegt Van Schoonhoven. “In de jaren van de Wet bescherming persoonsgegevens is vaak jarenlang achterstallig onderhoud ontstaan, waarmee nu een inhaalslag moet worden gemaakt. Dat is een enorme klus, die nu ineens veel tijd en geld kan kosten op de korte termijn. Maar groeien in AVG-compliance doe je alleen door ermee bezig te blijven.”

Van Schoonhoven waarschuwt om implementatie en compliance als eenmalige projecten te zien. “Als een eerste project is afgerond dan verdwijnt de aandacht voor het thema nogal eens. Maar het risicobeheersingsbouwwerk is dan een huis waarvan het dak nog niet waterdicht is. Daarin kan je prettig wonen zo lang de zon schijnt. Maar bij de eerste de beste regenbui loopt de zondvloed langs je muren de kelder in.”

Kijk verder

Van Schoonhoven ziet dat veel organisaties zich blind lijken te staren op stappenplannen, toolkits en checklists. “Er wordt wel eens gedacht dat je compliant bent als je het tienstappenplan van de Autoriteit Persoonsgegevens hebt doorlopen. Maar dat is volstrekt onvoldoende om echt compliant te zijn en biedt dus geen enkele garantie dat je daarmee de AVG naleeft.”

“De uitdagingen waar privacy professionals voor staan, zijn groot en divers. Dat vraagt om prioriteiten stellen en onderbouwde keuzes maken”, adviseert Van Schoonhoven. “Kijk daarom verder dan DPIA’s en maak daarnaast serieus werk van niet-wettelijke instrumenten zoals risk assessments.” Verder kijken betekent ook: op de hoogte blijven, bijvoorbeeld door vakgenoten op te zoeken. “Waar privacy professionals in het verleden nogal eens solistisch opereerden, zijn er nu steeds meer informatiebronnen, handboeken, naslagwerken, gidsen, best practices, modellen, fora, netwerken en conferenties om praktische kennis op te doen. Er ontstaan ook steeds meer informele communities, die losstaan van formele organisaties zoals het NGFG. Samen met vakgenoten kunnen privacy officers er dan voor zorgen dat het privacy volwassenheidsniveau van een organisatie toeneemt.”

Weten hoe een organisatie kan groeien in privacy volwassenheid? Volg dan de vierdaagse praktijkcursus Privacy Officer 2.0, of ga voor de beroepsopleiding CDPO.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure van Privacy Officer 2.0 direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten