Tom Haarman is Business consultant bij SmartR en verwondert zich over de aanpak van AVG. Tom aan het woord:

“De aanpassingen moeten toch allemaal gedaan worden in de applicaties. En er moet data worden verwijderd én ik moet gegevens van personen kunnen verwijderen. AVG lijkt me duidelijk een verhaal voor de IT-afdeling”

Veel organisaties waar ik kom of mensen die ik spreek over de AVG of GDPR benaderen de implementatie daarvan vanuit een IT-gedachte. Wanneer je googelt op AVG of GDPR wordt die gedachte bevestigd. Daar kom je, naast de informatie van de Autoriteit Persoonsgegevens, bijna alleen maar IT-bedrijven tegen die jou willen helpen je organisatie AVG compliant te maken.

Niet gek dacht ik in eerste instantie. Het opslaan en bewerken van persoonsgegevens doe je inderdaad in software applicaties die je via je desktop worden aangeboden door één of meerdere leveranciers. Maar na even verder denken vind ik het toch vreemd dat een hosting partij of een leverancier van een specifieke softwareoplossing aanbiedt om jouw organisatie te helpen de AVG te implementeren. Hoeveel zicht en kennis heeft een hosting partij bijvoorbeeld van de andere organisaties met wie jij gegevens uitwisselt en hoeveel van de oplossingen die jouw organisatie gebruikt worden volledig in de cloud aangeboden? Misschien lever jij wel de accountant informatie thuis via een website op je eigen pc aan en is die informatie dan volledig geaggregeerd? Of geef je bijvoorbeeld wekelijks een uitgeprint lijstje met adressen mee aan de lokale bezorgdienst? Niet iets wat in de scope van je hosting aanbieder valt lijkt me, laat staan in die van een softwareleverancier.

Mijn advies daarom: De implementatie van AVG niet uitbesteden aan een van je IT-leveranciers. Nu even terug naar de IT afdeling. Want ook die is volgens mij niet de aangewezen partij om de organisatie op de rit te krijgen voor de AVG. En wel vanwege drie redenen: de wet Datalekken, de aanpak van een gemiddeld IT project en de scope van de AVG.

Datalekken

Als het goed is heeft jouw organisatie al lang en breed een proces voor datalekken geïmplementeerd. Ook is deze – als het goed is – gedeeld met jouw collega’s, wordt het risico en de gevolgen van datalekken een aantal keer per jaar bij jou benadrukt en is het aanspreekpunt voor datalekken juist géén medewerker van de IT afdeling. In de AVG is de wet op datalekken ook weer opgenomen. Daarom alleen al zou de IT afdeling geen AVG moeten implementeren. En als een afdeling alleen niet de mitigerende maatregelen zou moeten bedenken voor iets gevoeligs als datalekken zou dat dan ook niet moeten gelden voor het in kaart brengen van jullie gegevensverwerkende processen en de risico’s daarop?

Projectaanpak

Ik heb zelf leuke IT projecten mogen leiden. Een IT project gaat uit van concrete functionaliteit. In de ideale situatie wordt samen met de professionals in de organisatie functionaliteit bedacht en ontwikkeld en vervolgens getest en geïmplementeerd. Voor de AVG geldt het omgekeerde. Door de EU is in Brussel een aantal regels bedacht die vertaald moet worden naar specifieke processen en output. Die output moet verzameld worden en de wijzigingen die daarvoor nodig zijn moeten dus doorgevoerd worden in het applicatielandschap en de bedrijfsprocessen. Daarvoor werken nu juist de standaard projectstructuren waar de IT afdeling zo goed mee kan werken niet.

Scope

De AVG is een afdeling overstijgende- soms zelfs een bedrijfsoverstijgende aangelegenheid. Van de gegevens die je verstuurt naar een grote bank tot het papieren lijstje dat door klanten in jullie ideeënbus wordt gegooid. De AVG vereist dat elk gegevensverwerkend proces bekend en geregistreerd is. En daarnaast dat in elk van deze processen bekend is waarom, hoe en met welk risico er gegevens worden verwerkt. Dat vraagt om aanpassingen in bedrijfsprocessen, maar ook van werkmethoden van medewerkers zelf. Een groot deel van wat de AVG voorschrijft, namelijk verantwoordelijk, bewust en verantwoordbaar omgaan met de persoonsgegevens die je verwerkt, wordt bereikt door je collega’s bewust te laten zijn wat ze doen en waarom ze iets doen. Verandering van gedrag bij collega’s is de beste mitigerende maatregel die je kunt nemen tegen het risico van verkeerde behandeling van persoonsgegevens. Een meer bedrijfsproces- en gedragsbenadering is daarom volgens mij de enige manier om de regelgeving van de AVG succesvol te implementeren. Het gaat namelijk om veel meer dan wijzigingen in software applicaties.

Hoe dan wel?

Moeten we IT dan helemaal niet betrekken? Zeker wel! IT zal in het project het merendeel van de uitvoerende werkzaamheden voor haar rekening moeten nemen. Leveranciers van de software applicaties moeten hun updates en fixes doorvoeren en die moeten worden getest. Daarbij heeft de IT afdeling het meeste zicht op de werkmethoden van de gegevensverwerkende processen. Denk aan back-ups, dataverzamelingen en documentmanagement systemen.

Maar het invoeren van de AVG moet wel een project zijn van de hele organisatie waarbij de projectleiding is belegd bij een staffunctionaris of externe partij. Het in kaart brengen en vastleggen van alle gegevensverwerkende processen (verwerkingsregister) moet bij de proceseigenaren worden neergelegd. Vanuit daar kan worden bepaald welke activiteiten er nog gedaan moeten worden om de organisatie AVG compliant te maken. Deze kunnen dan als losse projecten worden opgepakt. Denk bijvoorbeeld aan het aanpassen van het privacybeleid, een programma voor bewustwording, het volledig maken van alle verwerkersovereenkomsten óf het implementeren van wijzigingen t.b.v. dataportabiliteit. Waarbij die laatste dan weer wel juist een IT dingetje is.

Door de AVG organisatie breed te benaderen en de implementatie daarvan vanuit de bedrijfsproces- en gedragsbenadering uit voeren bereik je meer dan AVG compliance alleen. Je creëert ook ruimte voor bewustwording van de plek die jouw collega’s hebben in de processen en de invloed die zij daarop uitvoeren in hun dagelijkse taken.

Tot slot

Ik verwonder mij dagelijks over wat ik om mij heen zie gebeuren ten aanzien van de AVG. Mijn handen jeuken om er wat aan te doen. Begin in ieder geval zelf met een goede verdieping voordat je het project start.

Wilt u met Tom spreken over dit artikel of wilt u meer weten over de AVG en de SmartR-diensten rondom de AVG en informatiebeveiliging?

Klikt u dan hier!

Bekijk onze laatste berichten

De eerste maanden van Erica Leferink

De eerste maanden van …. Wij vroegen Erica Leferink om ons eens mee te nemen in haar eerste maanden. Ze is al veel op pad om onze klanten te adviseren in een voor haar totaal nieuwe sector. “Gewoon doen. Punt.” Vertelt Erica. Zo hebben wij haar overigens ook leren kennen. Pragmatisch en niet bang om nieuwe dingen […]
Lees meer

Succesvolle CorporatieGids LIVE Kennisdag

‘Wat tof dat jullie als organisatie dit soort innovaties omarmen en proberen verder te brengen.’ Dit was een van de vele complimenten die wij na afloop van onze sessie op het CorporatieGids LIVE mochten ontvangen. Een sessie die wederom succesvol was. De deelnemers waren enthousiast, maar wisten ook positief kritische vragen te stellen over de […]
Lees meer

CorporatieGids LIVE Kennisdag

Heb jij je al aangemeld? Voor de CorporatieGids LIVE Kennisdag die morgen plaatsvindt!? Ons doel is om deelnemers te inspireren en te informeren. Tijdens onze sessie zullen Rico Leemreijze en Raymond de Groot de deelnemers meenemen in het DNA van SmartR, hoe wij naar innovatie en transformatie kijken en wat dit betekent voor reparatieverzoeken. Kortom, een sessie vol inspiratie, […]
Lees meer

Meet Business Consultant Erica Leferink

Nog meer nieuwe gezichten… Ook Erica Leferink heeft zich aangesloten bij SmartR in de functie van Business Consultant; een rol die haar niet onbekend is. Erica heeft jarenlang als Business Consultant rondgetoerd door Nederland, weliswaar in een andere sector, maar daar doen we bij SmartR niet moeilijk over. De kennis leren we wel! Binnen SmartR […]
Lees meer

Meet Manager Operations Janta Visser

Manager Operations Janta Visser sloot zich onlangs aan bij SmartR en daarom is het hoog tijd om haar verhaal te delen. ⬇️ “De organisatie SmartR en Rico ken ik al even. De afgelopen periode zijn we veelvuldig met elkaar in contact geweest en kwamen we gezamenlijk tot de conclusie dat mijn toetreding tot SmartR de juiste stap is. En nou, […]
Lees meer

Geslaagd voor het KTO-onderzoek!

We hebben onze klanten en relaties wederom gevraagd hoe zij de samenwerking met SmartR en haar medewerkers ervaren. Daarbij komen periodiek onderwerpen als kwaliteit, kennis, gedrag en resultaat aan bod. Met gepaste trots kunnen we vertellen dat we geslaagd zijn met een klanttevredenheidscijfer van (trommelgeroffel)…… 8.2! Niet alleen een mooie stap vooruit (2021: 7,9) maar […]
Lees meer

Bekijk alle nieuws & blogs

© 2024 SmartR | Algemene voorwaarden | Disclaimer | Privacy verklaring | Website ontwikkeld door Sieronline