De invoering van de Algemene Verordening Gegevensbescherming (AVG – ofwel GDPR) kan voor flinke hoofdbrekens zorgen. De vernieuwde privacywet brengt nieuwe verplichtingen. En diverse onderdelen van de wet zijn zeker nog voor interpretatie vatbaar. Als je als middelgrote tot grote organisatie nog moet beginnen met de implementatie van de wet begint de tijd inmiddels te dringen. Want hoewel mei 2018 nog redelijk ver weg klinkt, is het zover voor we er erg in hebben.
De implementatie van de AVG wordt vaak als omvangrijk en complex gezien. De juridische tekst is soms lastig naar de praktijk te vertalen. Goede en eenduidige zienswijzen zijn er nog maar in beperkte mate. En jurisprudentie moet de komende jaren nog gevormd worden. Heeft je organisatie een risicomijdend karakter? Dan doe je gemakkelijk te veel. Zoek je graag de grenzen van de wet op? Dan doe je vermoedelijk te weinig.
Moet je als organisatie nog beginnen met de AVG-implementatie en verwerk je in een complexe it-omgeving een aanzienlijke hoeveelheid (of zeer gevoelige) persoonsgegevens? Dan is het hoog tijd om aan de slag te gaan. De onderstaande pragmatische aanpak kan je helpen om snel zicht te krijgen op de belangrijkste aandachtspunten: Van wet naar GAP Analyse (evt ook PIA) naar backlog naar sprints naar klaar voor de AVG.
De Wet
Nederland had met de WBP (vergeleken met sommige andere Europese landen) al een redelijk vooruitstrevende privacy wet. Veel onderdelen uit de AVG zijn in Nederland daarom al regel en vragen hopelijk weinig nieuwe inspanning. Heb je als organisatie de WBP altijd al serieus genomen? Dan is het verstandig om je te focussen op de verschillen. Belangrijke onderwerpen zijn daarbij: documentatie, de vernieuwde rechten van betrokkenen (vaak de klanten of medewerkers), privacy by design & by default en de PIA (Privacy Impact Assessment).
De GAP Analyse
Door op AVG-specifieke onderwerpen per verwerking (per bedrijfsapplicatie/-proces waar persoonsgegevens worden verwerkt) een GAP-analyse uit te voeren kan snel in kaart worden gebracht waar de aandachtspunten zich bevinden. De acties worden concreet door aan de resulaten van de analyse (iets voldoet wel of niet) meteen toe te voegen wat er moet gebeuren en wie daar voor nodig is. Via de link AVG Gap Analyse is eenvoudig een online analyse uit te voeren. Bij het volledig beantwoorden van de vragen beschik je ook meteen over een verwerkingsregistratie, een eerste stap in het voldoen aan de documentatieplicht.
PIA
Indien de verwerkte gegevens daar aanleiding toe geven (of je een vollediger beeld wilt krijgen van de passende privacymaatregelen) is het verstandig (en soms verplicht) om tevens een PIA uit te voeren. Daar waar je er met een eenvoudige AVG GAP-analyse voor kunt kiezen om vooral naar de AVG vernieuwing te kijken, helpt een PIA je om verplichtingen mee te nemen die er ook in de WBP al waren.
Backlog
De AVG-activiteiten kunnen nadat ze in kaart zijn gebracht via het reguliere proces worden opgepakt. Als er in de organisatie Agile wordt gewerkt is het een eerste stap om de activiteiten op de backlog te plaatsen.
Sprint (uitvoeren)
Na het verfijnen en inplannen van de werkzaamheden kunnen ze ingesprint worden. De hoeveelheid werk per sprint is uiteraard afhankelijk van de resources, de gehanteerde lengte van de sprint en het aantal sprints dat nog resteert tot 25 mei.
Te laat
Kom je in de knel om alle werkzaamheden voor 25 mei af te hebben? Zorg dan dat ze op basis van de bijbehorende risico’s goed prioriteert. Binnen de AVG gaat het voor een groot deel ook over ‘kunnen aantonen’ en ‘grip hebben op’. Geen enkele organisatie is volledig risico vrij. Als je zorgt dat je de grootste risico’s altijd oppakt en de kleinere tekortkomingen goed prioriteert en plant, dan kun je (mocht je getoetst worden) laten zien dat je ‘in control’ bent.
Maarten,
Erg (Agile) kort door de bocht!
Jij stelt: “De vernieuwde privacywet brengt nieuwe verplichtingen. En diverse onderdelen van de wet zijn zeker nog voor interpretatie vatbaar”.
De huidige wetgeving, de Wbp, stamt van 2001 en is gebaseerd op artikel 10 uit de Grondwet van
Al die jaren is er geen c.q. onvoldoende aandacht besteed aan privacy. En nu de wetgever het zat is en de teugels strakker gaat aanhalen is het niet echt de tijd om gewoon, Agile, door te gaan.
Er is namelijk een andere reden om jouw andere gedachten met grote nadruk te weerleggen.
De andere gedachten zijn: “Binnen de AVG gaat het voor een groot deel ook over ‘kunnen aantonen’ en ‘grip hebben op’. Geen enkele organisatie is volledig risico vrij. Als je zorgt dat je de grootste risico’s altijd oppakt en de kleinere tekortkomingen goed prioriteert en plant, dan kun je (mocht je getoetst worden) laten zien dat je ‘in control’ bent”.
Een groot misverstand! Je toont dan NIET aan dat je ‘in control’ bent. WEL dat je ‘goed bezig bent’.
Het gaat niet om het aantonen aan de toezichthouder dat je er wat aan gedaan hebt.
Het gaat om je eigen bedrijfsvoering. En het beschermen van de (privacy) belangen van je werknemers, klanten, patiënten, relaties, inwoners, de burgers, leden, e.d.
Om die reden is het een groot (bedrijfsbelang) dat de Beschikbaarheid en Integriteit zo goed als mogelijk geborgd worden. Daarmee dien je ook de vertrouwelijkheid.
Informatiebeveiliging, als platform voor het bewaken van de privacy (en de Vertrouwelijkheid)!
N.B. En hoe stel jij je Privacy by Design & Default voor in de praktijk?
Hoi Norman,
Ik wil met het artikel zeker niet suggereren dat organisaties die sinds 2001 niets aan privacy doen daar mee door moeten gaan. Sterker nog, ik hoop dat het artikel voor lezers die nog niet begonnen zijn (bijvoorbeeld omdat ze het lastig vinden om te bepalen waar ze moeten starten) aanleiding is om een start te maken. En wil daar ook graag een aantal handvatten bij aanreiken.
Wat privacy by design en by default inhouden is erg situatieafhankelijk. Je kunt in een generieke analyse vragen stellen die je helpen om een antwoord te vinden, maar ik heb niet 1 antwoord voor je wat in alle gevallen het meest privacyvriendelijke ontwerp of instelling is.