Tom Haarman is Business consultant bij SmartR en verwondert zich over de aanpak van AVG. Tom aan het woord:

“De aanpassingen moeten toch allemaal gedaan worden in de applicaties. En er moet data worden verwijderd én ik moet gegevens van personen kunnen verwijderen. AVG lijkt me duidelijk een verhaal voor de IT-afdeling”

Veel organisaties waar ik kom of mensen die ik spreek over de AVG of GDPR benaderen de implementatie daarvan vanuit een IT-gedachte. Wanneer je googelt op AVG of GDPR wordt die gedachte bevestigd. Daar kom je, naast de informatie van de Autoriteit Persoonsgegevens, bijna alleen maar IT-bedrijven tegen die jou willen helpen je organisatie AVG compliant te maken.

Niet gek dacht ik in eerste instantie. Het opslaan en bewerken van persoonsgegevens doe je inderdaad in software applicaties die je via je desktop worden aangeboden door één of meerdere leveranciers. Maar na even verder denken vind ik het toch vreemd dat een hosting partij of een leverancier van een specifieke softwareoplossing aanbiedt om jouw organisatie te helpen de AVG te implementeren. Hoeveel zicht en kennis heeft een hosting partij bijvoorbeeld van de andere organisaties met wie jij gegevens uitwisselt en hoeveel van de oplossingen die jouw organisatie gebruikt worden volledig in de cloud aangeboden? Misschien lever jij wel de accountant informatie thuis via een website op je eigen pc aan en is die informatie dan volledig geaggregeerd? Of geef je bijvoorbeeld wekelijks een uitgeprint lijstje met adressen mee aan de lokale bezorgdienst? Niet iets wat in de scope van je hosting aanbieder valt lijkt me, laat staan in die van een softwareleverancier.

Mijn advies daarom: De implementatie van AVG niet uitbesteden aan een van je IT-leveranciers. Nu even terug naar de IT afdeling. Want ook die is volgens mij niet de aangewezen partij om de organisatie op de rit te krijgen voor de AVG. En wel vanwege drie redenen: de wet Datalekken, de aanpak van een gemiddeld IT project en de scope van de AVG.

Datalekken

Als het goed is heeft jouw organisatie al lang en breed een proces voor datalekken geïmplementeerd. Ook is deze – als het goed is – gedeeld met jouw collega’s, wordt het risico en de gevolgen van datalekken een aantal keer per jaar bij jou benadrukt en is het aanspreekpunt voor datalekken juist géén medewerker van de IT afdeling. In de AVG is de wet op datalekken ook weer opgenomen. Daarom alleen al zou de IT afdeling geen AVG moeten implementeren. En als een afdeling alleen niet de mitigerende maatregelen zou moeten bedenken voor iets gevoeligs als datalekken zou dat dan ook niet moeten gelden voor het in kaart brengen van jullie gegevensverwerkende processen en de risico’s daarop?

Projectaanpak

Ik heb zelf leuke IT projecten mogen leiden. Een IT project gaat uit van concrete functionaliteit. In de ideale situatie wordt samen met de professionals in de organisatie functionaliteit bedacht en ontwikkeld en vervolgens getest en geïmplementeerd. Voor de AVG geldt het omgekeerde. Door de EU is in Brussel een aantal regels bedacht die vertaald moet worden naar specifieke processen en output. Die output moet verzameld worden en de wijzigingen die daarvoor nodig zijn moeten dus doorgevoerd worden in het applicatielandschap en de bedrijfsprocessen. Daarvoor werken nu juist de standaard projectstructuren waar de IT afdeling zo goed mee kan werken niet.

Scope

De AVG is een afdeling overstijgende- soms zelfs een bedrijfsoverstijgende aangelegenheid. Van de gegevens die je verstuurt naar een grote bank tot het papieren lijstje dat door klanten in jullie ideeënbus wordt gegooid. De AVG vereist dat elk gegevensverwerkend proces bekend en geregistreerd is. En daarnaast dat in elk van deze processen bekend is waarom, hoe en met welk risico er gegevens worden verwerkt. Dat vraagt om aanpassingen in bedrijfsprocessen, maar ook van werkmethoden van medewerkers zelf. Een groot deel van wat de AVG voorschrijft, namelijk verantwoordelijk, bewust en verantwoordbaar omgaan met de persoonsgegevens die je verwerkt, wordt bereikt door je collega’s bewust te laten zijn wat ze doen en waarom ze iets doen. Verandering van gedrag bij collega’s is de beste mitigerende maatregel die je kunt nemen tegen het risico van verkeerde behandeling van persoonsgegevens. Een meer bedrijfsproces- en gedragsbenadering is daarom volgens mij de enige manier om de regelgeving van de AVG succesvol te implementeren. Het gaat namelijk om veel meer dan wijzigingen in software applicaties.

Hoe dan wel?

Moeten we IT dan helemaal niet betrekken? Zeker wel! IT zal in het project het merendeel van de uitvoerende werkzaamheden voor haar rekening moeten nemen. Leveranciers van de software applicaties moeten hun updates en fixes doorvoeren en die moeten worden getest. Daarbij heeft de IT afdeling het meeste zicht op de werkmethoden van de gegevensverwerkende processen. Denk aan back-ups, dataverzamelingen en documentmanagement systemen.

Maar het invoeren van de AVG moet wel een project zijn van de hele organisatie waarbij de projectleiding is belegd bij een staffunctionaris of externe partij. Het in kaart brengen en vastleggen van alle gegevensverwerkende processen (verwerkingsregister) moet bij de proceseigenaren worden neergelegd. Vanuit daar kan worden bepaald welke activiteiten er nog gedaan moeten worden om de organisatie AVG compliant te maken. Deze kunnen dan als losse projecten worden opgepakt. Denk bijvoorbeeld aan het aanpassen van het privacybeleid, een programma voor bewustwording, het volledig maken van alle verwerkersovereenkomsten óf het implementeren van wijzigingen t.b.v. dataportabiliteit. Waarbij die laatste dan weer wel juist een IT dingetje is.

Door de AVG organisatie breed te benaderen en de implementatie daarvan vanuit de bedrijfsproces- en gedragsbenadering uit voeren bereik je meer dan AVG compliance alleen. Je creëert ook ruimte voor bewustwording van de plek die jouw collega’s hebben in de processen en de invloed die zij daarop uitvoeren in hun dagelijkse taken.

Tot slot

Ik verwonder mij dagelijks over wat ik om mij heen zie gebeuren ten aanzien van de AVG. Mijn handen jeuken om er wat aan te doen. Begin in ieder geval zelf met een goede verdieping voordat je het project start.

Wilt u met Tom spreken over dit artikel of wilt u meer weten over de AVG en de SmartR-diensten rondom de AVG en informatiebeveiliging?

Klikt u dan hier!

Bekijk onze laatste berichten

Wat een energie tijdens de jaarlijkse Summercourse

Sneak peak! Wat een energie. Wat een lol. Wat een saamhorigheid en wat werd er hard gewerkt tijdens onze jaarlijkse Summercourse… Waar we de ene dag werden ondergedompeld in de positieve effecten van kwalitatieve slaap, gezond eten en bewegen, leerden we de volgende dag presenteren als een pro en werden onze hersenen opgeschud door de […]
Lees meer

Hup Holland!

Hup Holland! ⚽️ Wij zijn weer terug van onze Summercourse en het EK is volop aan de gang! Namens alle Smarties wensen we “onze jongens” veel succes de komende duellen! En niet alleen wij dragen mooie oranje sjaaltjes, ons kantoor kleurt inmiddels ook oranje. Wij hebben er zin in!
Lees meer

Wij gaan op reis en nemen mee….

Wij gaan op reis en nemen mee…. 💼 Een koffer vol goede energie, zin, ambitie, lef en ga zo maar door! Want, de jaarlijkse Summercourse van SmartR is vandaag van start gegaan… De komende dagen staan in het teken van persoonlijke ontwikkeling, vitaliteit en de ontwikkeling van de organisatie! Mocht je ons nodig hebben en […]
Lees meer

Janneke over platformexpeditie

Ga je mee op expeditie …. Donderdagochtend 27 juni organiseren SmartR en Ziezodan een volgende platformexpeditie. Janneke Borgdorff is sinds april werkzaam voor SmartR als projectmanager van het platform voor reparatieverzoeken binnen de woningcorporaties en onderhoudspartijen. “Ik heb mij verwonderd over hoe het proces nu georganiseerd is en geloof in deze vernieuwende oplossing, waarin met […]
Lees meer

Klantdag van ITRIS

Natuurlijk waren wij erbij! Gisteren was een aantal collega’s van SmartR aanwezig bij de klantdag van ITRIS | ViewPoint voor woningcorporaties, NCCW en Qonsío. Tijdens deze dag werden zij meegenomen in de (nieuwe) plannen en konden zij ook weer bijpraten met ons netwerk. Het was een inspirerende dag vol waardevolle inzichten en connecties.  
Lees meer

Wat zeggen onze kernwaarden eigenlijk over ons?

Wat zeggen onze kernwaarden eigenlijk over ons? Tegenwoordig zijn kernwaarden binnen een organisatie niet meer weg te denken. Op bijna elke website vind je de waarden van een bedrijf. Als het goed is zeggen deze waarden iets over waarom en hoe een organisatie iets doet. Toch blijven kernwaarden maar woorden. Woorden zijn voor interpretatie vatbaar […]
Lees meer

Bekijk alle nieuws & blogs

© 2024 SmartR | Algemene voorwaarden | Disclaimer | Privacy verklaring | Website ontwikkeld door Sieronline