Ben jij ook nog steeds bezig met de Algemene Verordening Gegevensbescherming (AVG)? Ja? Gelukkig maar! De AVG is geen project dat je op gegeven moment afrondt. Privacy moet je zien als een kwaliteitsaspect van de dienstverlening naar onze burgers. cliënten en patiënten of als een kwaliteitsaspect van goed werkgeverschap richting onze medewerkers.
Het inbedden in de normale bedrijfsvoering is een must en bewustwording is daar een belangrijk onderdeel van. Veel bewustwording is gericht op de basis: weten dat de AVG er is en hoe deze toegepast moet worden. Maar de wereld om jouw organisatie heen verandert continu. Dat vraagt een andere vorm van bewustzijn van medewerkers. Je wilt dat zij alert zijn op veranderingen en bijdragen aan kwaliteit en naleving.
Privacy betrokken vanaf de start van een project
Privacy maakt onderdeel uit van elk proces waarbij persoonsgegevens worden verwerkt binnen de organisatie. De organisatie moet beseffen het naleven van AVG in de gehele organisatie verweven zit. Veranderingen komen onder andere door wijzigingen in wet- en regelgeving en rechtspraak. Wanneer deze impact hebben op de inrichting van de organisatie wil je dat privacy, net als informatieveiligheid al vanaf het begin onderdeel zijn van het project (art. 25 AVG jo. art 32 AVG).
Neem bijvoorbeeld het Digitaal Stelsel Omgevingswet (DSO), waarbij de VTH systemen van gemeenten, provincies en waterschappen probleemloos de berichten van het DSO kunnen uitwisselen en verwerken. Hiervoor moeten aanpassingen gemaakt worden in de ICT- infrastructuur en bedrijfsprocessen. Wat is de impact op security? En op privacy? Wie kan dat het beste bepalen?
Door Privacy Shield EU-US niet meer compliant aan de AVG
Wijzigingen in wet- en regelgeving zie je vaak wel aankomen. Rechterlijke uitspraken zorgen ervoor dat je van de ene op de andere dag niet meer compliant kunt zijn aan de AVG. Neem de recente uitspraak in de Schrems II zaak waarbij het Privacy Shield EU-US ongeldig is verklaard door het Europese Hof. Het adequaatheidsbesluit door de Europese Commissie voor doorgiften aan de US valt hier mee weg. Dit kan ervoor zorgen dat Verwerkersverantwoordelijke die data laten verwerken bij één van de 5000 organisaties die de verwerking op basis van het Privacy Shield rechtvaardigden ineens niet meer voldoen aan de juiste naleving van de wet.
En wat te denken van de naderende Brexit? Ook uitspraken van alle toezichthouders van de EU landen kunnen relevant zijn voor de Nederlandse praktijk. Ook hier uit blijkt dat privacy een onderwerp is waarbij ontwikkelingen van buitenaf maar ook intern een grote rol spelen in het op een juiste manier voldoen aan de privacywetgeving.
In 5 stappen aan de slag met bewustwording voor naleving AVG
Bewustzijn is geen wettelijke verplichting, maar vormt wel de randvoorwaarde voor het na kunnen leven van de AVG. Het is niet alleen een streven, maar de Autoriteit Persoonsgegevens schrijft voor dat je jouw medewerkers aantoonbaar bewust moet maken. Privacy inbedden in de normale bedrijfsvoering is makkelijker gezegd dan gedaan. Word jij als FG of Privacy Officer altijd op tijd betrokken bij een project? Dit blijft een uitdaging. Vakspecialisten, managers en bestuurders zijn niet altijd bewust dat privacy onderdeel is van hun eigen proces of vakgebied en ‘vergeten’ snel een FG te betrekken.
Tip: Als je beschikt over LIAS ISMS zijn er templates en guidelines beschikbaar waarmee doelen en acties bijgehouden kunnen worden.
Bewustzijn is geen wettelijke verplichting, maar vormt wel de randvoorwaarde voor het na kunnen leven van de AVG.
1. Bepaal op welke onderwerpen bewustzijn gecreëerd moet worden
In de AVG ligt de nadruk duidelijk op de verantwoordelijkheid van organisaties. Verantwoordelijken en betrokken medewerkers moeten dan wel weten wat er van hen verwacht wordt. Over welke onderwerpen is basiskennis nodig, wanneer wordt een specifieke actie van medewerkers verwacht? Medewerkers kunnen waardevolle input leveren bij het inventariseren van risico’s en PIA’s.
Bepaal de onderwerpen die relevant zijn voor het huidige bewustzijn. Wat moet men weten van de FG, rechten van betrokkenen of afspraken over thuiswerken? Wat moeten medewerkers bijvoorbeeld van het nieuwe recht op dataportabiliteit en klachten weten?
2. Meet het huidige bewustzijn
Meet wat de huidige houding, kennis of het draagvlak is ten aanzien van de bij punt 1 geselecteerde onderwerpen. Zijn beleidsmakers op de hoogte van nieuwe regels? Kunnen zij inschatten wat de impact van dit deel van de AVG is op processen, diensten en middelen? Welke aanpassingen zijn nodig om veilig, maar ook nog steeds efficiënt te kunnen werken?
3. Bepaal het gewenste effect van bewustzijn
Bepaal welk effect bewustzijn moet hebben. Wanneer managementkeuzes gemaakt moeten worden, bijvoorbeeld over de te besteden middelen, zal het management op deze elementen aangesproken moeten worden. Wanneer het doel juist is om medewerking te krijgen van afdelingshoofden zal bewustzijn aan hun praktijk aangepast moeten worden.
4. Stel een bewustwordingscampagne op en voer deze uit
Zet acties op met als doel de gewenste effecten te bereiken. Waarschijnlijk zal dit plan een combinatie van stakeholdermanagement en inhoudelijke kennisoverdracht zijn. Door middel van interactieve e-learningsmodules, privacytrainingen of phishingmails als brandoefening kan de bewustwording getoetst worden. Leg vast wie er aanwezig is bij de bewustwordingssessies. Om helemaal een optimaal resultaat te bereiken, helpen communicatiemiddelen ook bij het herkennen van de risico’s op de werkvloer. Uiteraard helpen wij je graag bij het lanceren van jouw eigen bewustwordingscampagne.
5. Meet de resultaten van de bewustwordingscampagne
Meet de resultaten van de inspanningen en pas plannen hierop aan. Metingen kunnen aanleiding geven voor verdieping op specifieke onderwerpen of kunnen onderdeel zijn van een langdurig bewustzijnsproject.
Advies bij de naleven van AVG
De implementatie van de AVG vraagt veel van de beschikbare mensen en middelen. Begin er daarom op tijd mee en wees transparant over de activiteiten. Inergy is specialist op o.a. het gebied van privacy en kan je adviseren bij het juist naleven van de privacywetgeving.