Tom Haarman is Business consultant bij SmartR en verwondert zich over de aanpak van AVG. Tom aan het woord:
“De aanpassingen moeten toch allemaal gedaan worden in de applicaties. En er moet data worden verwijderd én ik moet gegevens van personen kunnen verwijderen. AVG lijkt me duidelijk een verhaal voor de IT-afdeling”
Veel organisaties waar ik kom of mensen die ik spreek over de AVG of GDPR benaderen de implementatie daarvan vanuit een IT-gedachte. Wanneer je googelt op AVG of GDPR wordt die gedachte bevestigd. Daar kom je, naast de informatie van de Autoriteit Persoonsgegevens, bijna alleen maar IT-bedrijven tegen die jou willen helpen je organisatie AVG compliant te maken.
Niet gek dacht ik in eerste instantie. Het opslaan en bewerken van persoonsgegevens doe je inderdaad in software applicaties die je via je desktop worden aangeboden door één of meerdere leveranciers. Maar na even verder denken vind ik het toch vreemd dat een hosting partij of een leverancier van een specifieke softwareoplossing aanbiedt om jouw organisatie te helpen de AVG te implementeren. Hoeveel zicht en kennis heeft een hosting partij bijvoorbeeld van de andere organisaties met wie jij gegevens uitwisselt en hoeveel van de oplossingen die jouw organisatie gebruikt worden volledig in de cloud aangeboden? Misschien lever jij wel de accountant informatie thuis via een website op je eigen pc aan en is die informatie dan volledig geaggregeerd? Of geef je bijvoorbeeld wekelijks een uitgeprint lijstje met adressen mee aan de lokale bezorgdienst? Niet iets wat in de scope van je hosting aanbieder valt lijkt me, laat staan in die van een softwareleverancier.
Mijn advies daarom: De implementatie van AVG niet uitbesteden aan een van je IT-leveranciers. Nu even terug naar de IT afdeling. Want ook die is volgens mij niet de aangewezen partij om de organisatie op de rit te krijgen voor de AVG. En wel vanwege drie redenen: de wet Datalekken, de aanpak van een gemiddeld IT project en de scope van de AVG.
Datalekken
Als het goed is heeft jouw organisatie al lang en breed een proces voor datalekken geïmplementeerd. Ook is deze – als het goed is – gedeeld met jouw collega’s, wordt het risico en de gevolgen van datalekken een aantal keer per jaar bij jou benadrukt en is het aanspreekpunt voor datalekken juist géén medewerker van de IT afdeling. In de AVG is de wet op datalekken ook weer opgenomen. Daarom alleen al zou de IT afdeling geen AVG moeten implementeren. En als een afdeling alleen niet de mitigerende maatregelen zou moeten bedenken voor iets gevoeligs als datalekken zou dat dan ook niet moeten gelden voor het in kaart brengen van jullie gegevensverwerkende processen en de risico’s daarop?
Projectaanpak
Ik heb zelf leuke IT projecten mogen leiden. Een IT project gaat uit van concrete functionaliteit. In de ideale situatie wordt samen met de professionals in de organisatie functionaliteit bedacht en ontwikkeld en vervolgens getest en geïmplementeerd. Voor de AVG geldt het omgekeerde. Door de EU is in Brussel een aantal regels bedacht die vertaald moet worden naar specifieke processen en output. Die output moet verzameld worden en de wijzigingen die daarvoor nodig zijn moeten dus doorgevoerd worden in het applicatielandschap en de bedrijfsprocessen. Daarvoor werken nu juist de standaard projectstructuren waar de IT afdeling zo goed mee kan werken niet.
Scope
De AVG is een afdeling overstijgende- soms zelfs een bedrijfsoverstijgende aangelegenheid. Van de gegevens die je verstuurt naar een grote bank tot het papieren lijstje dat door klanten in jullie ideeënbus wordt gegooid. De AVG vereist dat elk gegevensverwerkend proces bekend en geregistreerd is. En daarnaast dat in elk van deze processen bekend is waarom, hoe en met welk risico er gegevens worden verwerkt. Dat vraagt om aanpassingen in bedrijfsprocessen, maar ook van werkmethoden van medewerkers zelf. Een groot deel van wat de AVG voorschrijft, namelijk verantwoordelijk, bewust en verantwoordbaar omgaan met de persoonsgegevens die je verwerkt, wordt bereikt door je collega’s bewust te laten zijn wat ze doen en waarom ze iets doen. Verandering van gedrag bij collega’s is de beste mitigerende maatregel die je kunt nemen tegen het risico van verkeerde behandeling van persoonsgegevens. Een meer bedrijfsproces- en gedragsbenadering is daarom volgens mij de enige manier om de regelgeving van de AVG succesvol te implementeren. Het gaat namelijk om veel meer dan wijzigingen in software applicaties.
Hoe dan wel?
Moeten we IT dan helemaal niet betrekken? Zeker wel! IT zal in het project het merendeel van de uitvoerende werkzaamheden voor haar rekening moeten nemen. Leveranciers van de software applicaties moeten hun updates en fixes doorvoeren en die moeten worden getest. Daarbij heeft de IT afdeling het meeste zicht op de werkmethoden van de gegevensverwerkende processen. Denk aan back-ups, dataverzamelingen en documentmanagement systemen.
Maar het invoeren van de AVG moet wel een project zijn van de hele organisatie waarbij de projectleiding is belegd bij een staffunctionaris of externe partij. Het in kaart brengen en vastleggen van alle gegevensverwerkende processen (verwerkingsregister) moet bij de proceseigenaren worden neergelegd. Vanuit daar kan worden bepaald welke activiteiten er nog gedaan moeten worden om de organisatie AVG compliant te maken. Deze kunnen dan als losse projecten worden opgepakt. Denk bijvoorbeeld aan het aanpassen van het privacybeleid, een programma voor bewustwording, het volledig maken van alle verwerkersovereenkomsten óf het implementeren van wijzigingen t.b.v. dataportabiliteit. Waarbij die laatste dan weer wel juist een IT dingetje is.
Door de AVG organisatie breed te benaderen en de implementatie daarvan vanuit de bedrijfsproces- en gedragsbenadering uit voeren bereik je meer dan AVG compliance alleen. Je creëert ook ruimte voor bewustwording van de plek die jouw collega’s hebben in de processen en de invloed die zij daarop uitvoeren in hun dagelijkse taken.
Tot slot
Ik verwonder mij dagelijks over wat ik om mij heen zie gebeuren ten aanzien van de AVG. Mijn handen jeuken om er wat aan te doen. Begin in ieder geval zelf met een goede verdieping voordat je het project start.
Wilt u met Tom spreken over dit artikel of wilt u meer weten over de AVG en de SmartR-diensten rondom de AVG en informatiebeveiliging?
Klikt u dan hier!