Nieuwe privacywetgeving: een opdracht voor informatiemanagement

Nieuwe privacywetgeving: een opdracht voor informatiemanagement


04 december 2017

Je ontkomt er niet aan, de berichtgeving over de nieuwe privacywetgeving. Het ene bericht is nog schrikwekkender dan het andere bericht over toezichthouders, boetes en de druk vanuit burgers.

Op 25 mei 2018 zal er waarschijnlijk worden gestart met handhaving op de nieuwe privacyregels. Dan heeft iedereen al meer dan genoeg tijd gehad om zich voor te bereiden, toch?

Dat voorbereiden blijkt in de praktijk toch knap lastig met al die spannende verhalen. Wat mij hierin met name opvalt is dat de informatiemanagers niet bovenop de bok springen rondom dit onderwerp. Laat mij toelichten waarom ik dat eigenlijk verwacht en waarom ik de AVG/GDPR écht een informatiemanagement klus vind.

Nieuwe regels

De nieuwe regels (de oude overigens ook) gaan uit van een antwoord op de volgende vragen:

  1. Verwerkt u persoonsgegevens? Lees: hebben wij persoonsgegevens in onze systemen (kan ook een SaaS oplossing zijn) of ontvangen we deze van iemand buiten de organisatie en met wie delen we dit type gegevens?
  2. Leg de verwerkingen vast in een register. Lees: hebben we ergens een overzicht van systemen en processen en wat we hierin opslaan en bewerken.
  3. Voer een impactanalyse uit op persoonsgegevens. Lees: als we iets inrichten, denken we dan na over de consequenties als er iets niet goed gaat zoals verlies van data lekkage?
  4. Doe dit niet eenmalig maar blijvend. Lees: richt een cyclisch proces in met een stuk verantwoording hierover. Als u een ISO normering of HKZ (voor de zorg) heeft dan weet u waar ik het over heb. Dit proces moet dan wel echt werken en niet een maand voor een audit weer worden afgestoft. De kans dat bij een incident naar de status van het proces wordt gevraagd is naar verwachting groot.

Eigenlijk hebben we het dus gewoon over een informatiemanagementvraagstuk met een managementcyclus.

Praktische architectuurplaten

Heeft u intern al praktische architectuurplaten met informatiestromen, dus niet de referentie architecturen maar gewoon hoe het informatielandschap er echt uitziet. Dan wordt het implementeren de nieuwe eisen toch een stuk eenvoudiger. Wil al jaren niemand hier tijd in steken dan is dit toch écht het moment om hier mee aan de slag te gaan en voldoende middelen hiervoor intern beschikbaar te krijgen.

Niet met de vraag 'wij willen graag onze informatiearchitectuur en management op orde krijgen' maar met het vraagstuk: 'Met die nieuwe privacy regels, moeten we nu echt weten waar de informatie van onze organisatie staat zodat we bijvoorbeeld snel kunnen aangeven aan een cliënt welke gegevens we verwerken.' Oh ja, en een mooi effect is dat we ook de informatiefunctie een goede boost geven.

Informatiemanagers: grijp je kans!

Dus informatiemanagers, grijp je kans met de nieuwe AVG en start met het in kaart brengen van het applicatielandschap en de vraag wie in de organisatie over de informatie gaat? Dat brengt u gelijk dichter bij de interne gebruikersorganisatie.

Heb je dan helemaal geen verstand van wetgeving nodig?Natuurlijk wel want tijdens en na de inventarisatie komt de vraag 'en mag dit dan wel?' Daar is dan vervolgens een goed privacy advies op nodig. Dat advies moet wel gevoed worden door het informatiemanagement want dan kan er een goede balans tussen strengheid vanuit de wet en werkbaarheid vanuit de praktijk worden opgezocht.


Wilt u weten hoe u uw organisatie optimaal inricht om informatiebeveiliging en privacy te borgen? Neem dan contact met ons op.

Meer kennis opdoen over informatieveiligheid



Ralph Wagter

Principal adviseur
ralph.wagter@mxi.nl
06 10 04 17 21
Lees mijn publicaties

Bent u al voorbereid op de veranderende privacywetgeving?



Zoekt u ondersteuning of wilt u over de mogelijkheden sparren?

Neem contact met ons opofOntdek meer
M&I/Partners gebruikt cookies en verzamelt daarmee informatie over het gebruik van de website onder andere om deze te analyseren en te verbeteren. Door gebruik te maken van deze website, geeft u akkoord te zijn met het gebruik van cookies.
Sluit deze melding