Nieuwe privacywetgeving: een opdracht voor informatiemanagement

Je ontkomt er niet aan, de berichtgeving over de nieuwe privacywetgeving. Het ene bericht is nog schrikwekkender dan het andere bericht over toezichthouders, boetes en de druk vanuit burgers.

Op 25 mei 2018 zal er waarschijnlijk worden gestart met handhaving op de nieuwe privacyregels. Dan heeft iedereen al meer dan genoeg tijd gehad om zich voor te bereiden, toch?

Dat voorbereiden blijkt in de praktijk toch knap lastig met al die spannende verhalen. Wat mij hierin met name opvalt is dat de informatiemanagers niet bovenop de bok springen rondom dit onderwerp. Laat mij toelichten waarom ik dat eigenlijk verwacht en waarom ik de AVG/GDPR écht een informatiemanagement klus vind.

Nieuwe regels

De nieuwe regels (de oude overigens ook) gaan uit van een antwoord op de volgende vragen:

1. Verwerkt u persoonsgegevens? Lees: hebben wij persoonsgegevens in onze systemen (kan ook een SaaS oplossing zijn) of ontvangen we deze van iemand buiten de organisatie en met wie delen we dit type gegevens?
2. Leg de verwerkingen vast in een register. Lees: hebben we ergens een overzicht van systemen en processen en wat we hierin opslaan en bewerken.
3. Voer een impactanalyse uit op persoonsgegevens. Lees: als we iets inrichten, denken we dan na over de consequenties als er iets niet goed gaat zoals verlies van data lekkage?
4. Doe dit niet eenmalig maar blijvend. Lees: richt een cyclisch proces in met een stuk verantwoording hierover. Als u een ISO normering of HKZ (voor de zorg) heeft dan weet u waar ik het over heb. Dit proces moet dan wel echt werken en niet een maand voor een audit weer worden afgestoft. De kans dat bij een incident naar de status van het proces wordt gevraagd is naar verwachting groot.

Eigenlijk hebben we het dus gewoon over een informatiemanagementvraagstuk met een managementcyclus.

Praktische architectuurplaten

Heeft u intern al praktische architectuurplaten met informatiestromen, dus niet de referentie architecturen maar gewoon hoe het informatielandschap er echt uitziet. Dan wordt het implementeren de nieuwe eisen toch een stuk eenvoudiger. Wil al jaren niemand hier tijd in steken dan is dit toch écht het moment om hier mee aan de slag te gaan en voldoende middelen hiervoor intern beschikbaar te krijgen.

Niet met de vraag 'wij willen graag onze informatiearchitectuur en management op orde krijgen' maar met het vraagstuk: 'Met die nieuwe privacy regels, moeten we nu echt weten waar de informatie van onze organisatie staat zodat we bijvoorbeeld snel kunnen aangeven aan een cliënt welke gegevens we verwerken.' Oh ja, en een mooi effect is dat we ook de informatiefunctie een goede boost geven.

Informatiemanagers: grijp je kans!

Dus informatiemanagers, grijp je kans met de nieuwe AVG en start met het in kaart brengen van het applicatielandschap en de vraag wie in de organisatie over de informatie gaat? Dat brengt u gelijk dichter bij de interne gebruikersorganisatie.

Heb je dan helemaal geen verstand van wetgeving nodig?Natuurlijk wel want tijdens en na de inventarisatie komt de vraag 'en mag dit dan wel?' Daar is dan vervolgens een goed privacy advies op nodig. Dat advies moet wel gevoed worden door het informatiemanagement want dan kan er een goede balans tussen strengheid vanuit de wet en werkbaarheid vanuit de praktijk worden opgezocht.

Wilt u weten hoe u uw organisatie optimaal inricht om informatiebeveiliging en privacy te borgen? Neem dan contact met ons op.

Meer kennis opdoen over informatieveiligheid