Snel naar content
iemand houdt een iphone vast op het beginscherm waarbij de toegangscode moet worden ingevoerd

In 5 stappen bewustzijn creëren voor een juiste naleving van de AVG

Ben jij ook nog steeds bezig met de Algemene Verordening Gegevensbescherming (AVG)? Ja? Gelukkig maar! De AVG is geen project dat je op gegeven moment afrondt. Privacy moet je zien als een kwaliteitsaspect van de dienstverlening naar onze burgers. cliënten en patiënten of als een kwaliteitsaspect van goed werkgeverschap richting onze medewerkers.

Het inbedden in de normale bedrijfsvoering is een must en bewustwording is daar een belangrijk onderdeel van. Veel bewustwording is gericht op de basis: weten dat de AVG er is en hoe deze toegepast moet worden. Maar de wereld om jouw organisatie heen verandert continu. Dat vraagt een andere vorm van bewustzijn van medewerkers. Je wilt dat zij alert zijn op veranderingen en bijdragen aan kwaliteit en naleving.

Privacy betrokken vanaf de start van een project

Privacy maakt onderdeel uit van elk proces waarbij persoonsgegevens worden verwerkt binnen de organisatie. De organisatie moet beseffen het naleven van AVG in de gehele organisatie verweven zit. Veranderingen komen onder andere door wijzigingen in wet- en regelgeving en rechtspraak. Wanneer deze impact hebben op de inrichting van de organisatie wil je dat privacy, net als informatieveiligheid al vanaf het begin onderdeel zijn van het project (art. 25 AVG jo. art 32 AVG).

Neem bijvoorbeeld het Digitaal Stelsel Omgevingswet (DSO), waarbij de VTH systemen van gemeenten, provincies en waterschappen probleemloos de berichten van het DSO kunnen uitwisselen en verwerken. Hiervoor moeten aanpassingen gemaakt worden in de ICT- infrastructuur en bedrijfsprocessen. Wat is de impact op security? En op privacy? Wie kan dat het beste bepalen?

Door Privacy Shield EU-US niet meer compliant aan de AVG

Wijzigingen in wet- en regelgeving zie je vaak wel aankomen. Rechterlijke uitspraken zorgen ervoor dat je van de ene op de andere dag niet meer compliant kunt zijn aan de AVG. Neem de recente uitspraak in de Schrems II zaak waarbij het Privacy Shield EU-US ongeldig is verklaard door het Europese Hof. Het adequaatheidsbesluit door de Europese Commissie voor doorgiften aan de US valt hier mee weg. Dit kan ervoor zorgen dat Verwerkersverantwoordelijke die data laten verwerken bij één van de 5000 organisaties die de verwerking op basis van het Privacy Shield rechtvaardigden ineens niet meer voldoen aan de juiste naleving van de wet.

En wat te denken van de naderende Brexit? Ook uitspraken van alle toezichthouders van de EU landen kunnen relevant zijn voor de Nederlandse praktijk. Ook hier uit blijkt dat privacy een onderwerp is waarbij ontwikkelingen van buitenaf maar ook intern een grote rol spelen in het op een juiste manier voldoen aan de privacywetgeving.

In 5 stappen aan de slag met bewustwording voor naleving AVG


Bewustzijn is geen wettelijke verplichting, maar vormt wel de randvoorwaarde voor het na kunnen leven van de AVG. Het is niet alleen een streven, maar de Autoriteit Persoonsgegevens schrijft voor dat je jouw medewerkers aantoonbaar bewust moet maken. Privacy inbedden in de normale bedrijfsvoering is makkelijker gezegd dan gedaan. Word jij als FG of Privacy Officer altijd op tijd betrokken bij een project? Dit blijft een uitdaging. Vakspecialisten, managers en bestuurders zijn niet altijd bewust dat privacy onderdeel is van hun eigen proces of vakgebied en ‘vergeten’ snel een FG te betrekken.

Tip: Als je beschikt over LIAS ISMS zijn er templates en guidelines beschikbaar waarmee doelen en acties bijgehouden kunnen worden.

Bewustzijn is geen wettelijke verplichting, maar vormt wel de randvoorwaarde voor het na kunnen leven van de AVG.

1. Bepaal op welke onderwerpen bewustzijn gecreëerd moet worden
In de AVG ligt de nadruk duidelijk op de verantwoordelijkheid van organisaties. Verantwoordelijken en betrokken medewerkers moeten dan wel weten wat er van hen verwacht wordt. Over welke onderwerpen is basiskennis nodig, wanneer wordt een specifieke actie van medewerkers verwacht? Medewerkers kunnen waardevolle input leveren bij het inventariseren van risico’s en PIA’s.

Bepaal de onderwerpen die relevant zijn voor het huidige bewustzijn. Wat moet men weten van de FG, rechten van betrokkenen of afspraken over thuiswerken? Wat moeten medewerkers bijvoorbeeld van het nieuwe recht op dataportabiliteit en klachten weten?

2. Meet het huidige bewustzijn
Meet wat de huidige houding, kennis of het draagvlak is ten aanzien van de bij punt 1 geselecteerde onderwerpen. Zijn beleidsmakers op de hoogte van nieuwe regels? Kunnen zij inschatten wat de impact van dit deel van de AVG is op processen, diensten en middelen? Welke aanpassingen zijn nodig om veilig, maar ook nog steeds efficiënt te kunnen werken?

3. Bepaal het gewenste effect van bewustzijn
Bepaal welk effect bewustzijn moet hebben. Wanneer managementkeuzes gemaakt moeten worden, bijvoorbeeld over de te besteden middelen, zal het management op deze elementen aangesproken moeten worden. Wanneer het doel juist is om medewerking te krijgen van afdelingshoofden zal bewustzijn aan hun praktijk aangepast moeten worden.

4. Stel een bewustwordingscampagne op en voer deze uit
Zet acties op met als doel de gewenste effecten te bereiken. Waarschijnlijk zal dit plan een combinatie van stakeholdermanagement en inhoudelijke kennisoverdracht zijn. Door middel van interactieve e-learningsmodules, privacytrainingen of phishingmails als brandoefening kan de bewustwording getoetst worden. Leg vast wie er aanwezig is bij de bewustwordingssessies. Om helemaal een optimaal resultaat te bereiken, helpen communicatiemiddelen ook bij het herkennen van de risico’s op de werkvloer. Uiteraard helpen wij je graag bij het lanceren van jouw eigen bewustwordingscampagne.

5. Meet de resultaten van de bewustwordingscampagne
Meet de resultaten van de inspanningen en pas plannen hierop aan. Metingen kunnen aanleiding geven voor verdieping op specifieke onderwerpen of kunnen onderdeel zijn van een langdurig bewustzijnsproject.

Advies bij de naleven van AVG
De implementatie van de AVG vraagt veel van de beschikbare mensen en middelen. Begin er daarom op tijd mee en wees transparant over de activiteiten. Inergy is specialist op o.a. het gebied van privacy en kan je adviseren bij het juist naleven van de privacywetgeving.

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Effectief begroten bij de lokale overheid: Focus op programma’s én teams

Effectief begroten bij de lokale overheid: Focus op programma’s én teams

Als lokale overheid sta je voor een constante uitdaging bij het beheren van je budgetten. Door te sturen op team- en afdelingsniveau anticipeer je beter op uitdagingen. Dit geeft een breder inzicht in de prestaties van jouw gemeente en het zorgt ervoor dat je jouw programmadoelen realistischer en effectiever behaald.

Lees verder

Hoe transformeert data de machine-industrie met supply chain-optimalisatie?

Hoe transformeert data de machine-industrie met supply chain-optimalisatie?

In de machine-industrie, waar efficiëntie en precisie cruciaal zijn, maakt een goed geoptimaliseerde supply chain het verschil tussen winstgevendheid en stilstand. Supply chai-optimalisatie gaat niet alleen over het stroomlijnen van processen, maar ook over het verminderen van kosten, verbeteren van levertijden, en verhogen van de flexibiliteit.

Lees verder

Hoe data inzetten helpt bij het verhogen van klanttevredenheid in de machine-industrie

Hoe data inzetten helpt bij het verhogen van klanttevredenheid in de machine-industrie

Dataplatforms spelen een essentiële rol in het verhogen van klanttevredenheid door jou in staat te stellen meer gepersonaliseerde, efficiënte en proactieve klankinteracties te bieden.

Lees verder