Een risico-inventarisatie? Waarom moet dat? We implementeren gewoon de vereiste maatregelen en dan zijn we klaar, toch?'. Tobias van Oerle geeft drie belangrijke argumenten om vandaag nog met risicomanagement te beginnen.
Lees verderOndertussen leven we bijna zes jaar na de implementatie van de AVG. Veel organisaties hebben jaren geleden als verplicht nummertje een privacybeleid opgesteld. Waarschijnlijk staat dit beleid ergens op het intranet en kijkt niemand er meer naar. Het is geen levend document. Tegelijkertijd ervaren veel privacy officers dat privacybescherming in de praktijk realiseren een enorme klus is. Je kan als organisatie veel meer halen uit het privacybeleid. Maar hoe maak je met het beleid meer impact binnen je organisatie?
Start met het formuleren van het focuspunt
Om impact te maken zal je het beleid ten eerste een focus moeten geven. Volgens de boekjes over hoe je een goed beleid opstelt, doorloop je drie stappen:
- Het stelt een doel vast, een richting waar je naartoe wilt werken. Dat doel past binnen de organisatie en haar kernwaarden. Voldoen aan de AVG is een dooddoener en een utopie. Maar als je niet zo makkelijk aan de AVG kan voldoen, waarom zou je dan moeite doen? De AVG gaat uit van een risico gebaseerde benadering, dus dat je de hoogste risico's eerst aanpakt en daarna de lagere risico's. Beleid helpt om hierin een keuze te maken.
- Om dat doel te kunnen bereiken heb je middelen nodig, bijvoorbeeld mensen, geld, materiaal. Deze middelen leg je vast in het beleid.
- Om dat doel over een aantal jaar te hebben bereikt, ga je activiteiten ondernemen binnen een bepaald tijdspad. Ook dit is essentieel onderdeel van een goed beleid.
Figuur 1: 3 stappen om de focus van het privacybeleid te formuleren
Vaak ziet een privacybeleid er helaas niet zo uit. Het beschrijft hoe de verantwoordelijkheid is belegd en wat de globale verwerkingen, grondslagen en processen voor betrokkenen zijn. Soms wordt gewoon de AVG herhaalt, meer niet. Een ontwikkelrichting die past bij de organisatie wordt niet geschetst. Dat is jammer, want zo’n beleid helpt organisaties dan geen stap verder!
Spits het beleid toe op jouw organisatie
Om de impact zo groot mogelijk te maken spits je het beleid vervolgens toe op jouw organisatie. Hieronder beschrijf ik, aan de hand van een voorbeeld, hoe privacybeleid eruit kan zien.
- Een gemeente heeft als kernwaarden Vertrouwen en Openheid. Dit zijn mooie waarden om focus te leggen op vragen als: hoe borgen we het vertrouwen van burgers dat persoonsgegevens bij ons veilig zijn? Hoe zijn we transparant over wat we doen met de gegevens van inwoners? Het doel kan dan zijn om de gegevensverwerkingen in alle processen veilig te maken en dit transparant te kunnen uitleggen aan de burger.
- Om dit doel te bereiken heb je middelen nodig. Het gaat hier niet zozeer om de hoeveelheid fte aan privacy officers, maar ook het aantal uur dat medewerkers bezig zullen zijn met de verbeteringen. Of bijvoorbeeld de licenties van een softwarepakket die helpen privacy in te richten in de organisatie. Bouw dus ruimte in voor een zo volledig mogelijk pakket aan middelen.
- Activiteiten die hierbij passen zijn:
- Awareness voor medewerkers hoe zij in de praktijk persoonsgegevens veilig houden en daarover transparant communiceren.
- Een efficiënt proces voor DPIA’s op nieuwe verwerkingen of wijzigingen met hoge risico’s.
- Met security om de tafel om de strategie voor informatiebeveiliging van bijzondere persoonsgegevens te verbeteren.
Tijd om impact te maken
Je kunt je afvragen: hoe maak je hier nu impact mee?
- Het bestuur is aan zet om het beleid vast te stellen en daarna dus ook uit te dragen. In dat laatste kan je het bestuur uitdagen. The tone at the top inspireert alle medewerkers.
- Het vrijmaken van menskracht om privacy te waarborgen in de organisatie kan een grote uitdaging zijn. Als dat in je privacybeleid geborgd wordt, wordt het een stuk makkelijker om mensen naar verplichte workshops te krijgen en is ‘geen tijd’ geen excuus meer.
- Met een budget kan je met de juiste middelen voor jezelf het werk makkelijker maken zodat je kunt focussen op je prioriteiten binnen een meerjarenplanning vanuit het beleid.
Hoe maak je dus impact met je privacybeleid? Met een focus op doel, middelen en activiteiten zorg je dat het privacybeleid geen verstoft document blijft, maar gaat leven en je organisatie helpt om de gewenste vooruitgang te boeken in privacybescherming. In een workshop helpen we je graag om dit voor jouw organisatie boven tafel te krijgen. Of ga gewoon zelf op een vrijdagmiddag met je team post-its plakken en je kunt aan de slag!
Terug naar het overzicht
Maak kennis met
Gerelateerde publicaties
In deze serie podcasts van M&I/Partners nemen Ralph Wagter en Tobias van Oerle u in 20 minuten mee in de wereld van informatiebeveiliging en de nieuwe privacywetgeving, de AVG/GDPR. Luister de eerste podcast: De AVG/GDPR na 25 mei.
Lees verder