Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. We zijn nu bijna een jaar verder en blikken graag met u terug op onze ervaringen met de AVG in de praktijk in dit afgelopen jaar.
Implementeren van processen
Tijdens AVG-implementatietrajecten en werkzaamheden voor andere projecten is ons opgevallen dat de AVG nog te weinig in processen geïmplementeerd is. We merken dat de focus vooral heeft gelegen op het maken en bijhouden van verwerkingsregisters en verwerkersovereenkomsten.
Het is echter van belang om processen in de organisatie te implementeren die bijvoorbeeld toestemming vastleggen en aantoonbaar maken en rechten van betrokkenen faciliteren. Je borgt de AVG namelijk pas echt in je organisatie wanneer het verbonden is met processen en niet alleen de benodigde documentatie en tools worden opgesteld.
Afdeling verantwoordelijk
Veel organisaties hebben een Functionaris Gegevensbescherming (FG) aangesteld voor de toepassing en naleving van de AVG. Hier ontstaat de misvatting dat de FG ook verantwoordelijk is voor alle taken vanuit de AVG. Hierdoor liggen de taken vaak bij een individu en zijn deze niet geborgd in de processen van de organisatie. De FG heeft dus vaak een te uitvoerende taak en zou eigenlijk alleen moeten dienen als klankbord, het scherp houden van de organisatie op het gebied van de AVG en het melden van datalekken aan de Autoriteit Persoonsgegevens.
Om de AVG beter te kunnen borgen kan het helpen om de taken over de verschillende afdelingen binnen de organisatie te verdelen en hiermee een afdeling verantwoordelijk te maken. Het is bijvoorbeeld effectief om het opstellen van verwerkersovereenkomsten bij de afdeling inkoop onder te brengen, bewustzijn bij HR en privacy by design en default bij ICT.
Privacy by design / default
We merken dat privacy by design en default weinig aandacht krijgt. Uit bijvoorbeeld privacy by default valt wel heel veel te halen waardoor het nuttig kan zijn om hier als organisatie samen met leveranciers over na te denken. Privacy by default verplicht organisaties om de privacy van hun gebruikers te beschermen door de instellingen en functies van de producten en diensten standaard op de meest privacy-vriendelijke stand te zetten.
Organisaties maken vaak gebruik van Office 365. Dit biedt veel mogelijkheden voor privacy by default. Tijdens het categoriseren van informatie kan een label worden gegeven die vervolgens in Office 365 kan worden toegepast. In Office 365 geeft namelijk de mogelijkheid om informatie te labelen, waardoor deze extra beveiligd wordt. Hierdoor krijgt het meer aandacht en gaat het voor medewerkers een grotere rol spelen in de organisatie.
Integratie incidenten
Organisaties hebben de komst van de AVG gebruikt voor commerciële doeleinden door nieuwe producten te ontwikkelen voor het gebruik van de AVG. Sommige organisaties hebben speciale tools gemaakt voor het bijhouden van datalekken/specifieke AVG-incidenten.
Meridion raadt aan om AVG-incidenten altijd te integreren met alle andere incidenten binnen de organisatie. Dit betekent dat alle incidenten worden bijgehouden in één centraal systeem. Het gebruikmaken van twee systemen is niet verkeerd, maar het incidentenregistratiesysteem wordt sterker wanneer dit geïntegreerd is. Op die manier kan er meer informatie uit het systeem worden gehaald over bijvoorbeeld welke maatregelen getroffen moeten worden en in hoeverre een maatregel integraal kan werken voor meerdere incidenten.
Overlegstructuur
Zorginstellingen hebben meestal een zeer strakke en duidelijke overlegstructuur. Toch wordt de AVG niet altijd structureel meegenomen in deze overleggen. Om de AVG goed te kunnen borgen en ervoor te zorgen dat deze toegepast blijft worden binnen de organisatie is het van belang een vast agendapunt hiervoor te creëren. Het is dan met name van belang ‘net-niet-incidenten’ te bespreken. Nu wordt nog te vaak gehandeld en overlegt op basis van gebeurde incidenten, maar de organisatie leert juist veel van incidenten die net niet hebben plaatsgevonden.
Het is dus belangrijk deze incidenten te bespreken in een overleg met een vast AVG-agendapunt waarbij direct een jaarlijkse AVG-check meegenomen kan worden om deze geborgd te houden.
PDCA
Het valt op dat organisaties hard hebben gewerkt om AVG-compliant te zijn voor mei 2018, maar het nu geleidelijk stilvalt rondom dit onderwerp. Het onderhouden van de AVG binnen de organisatie wordt vergeten of er is onvoldoende kennis over hoe dit onderhoud aangepakt moet worden.
Meridion vindt dat ook de AVG, naast alle andere normen, volgens een PDCA-cyclus gevolgd moet worden. Op die manier blijft de AVG geborgd binnen de organisatie en vervaagt het harde werken van de implementatie niet. Meridion heeft diverse methoden en tools om de AVG binnen uw organisatie te kunnen blijven onderhouden en verbeteren.
Awareness
Het privacy-bewustzijn van medewerkers is cruciaal voor een goede borging van de AVG. Awareness campagnes hebben echter vaak weinig effect bij de werknemers, omdat het veel theorie omvat en omdat medewerkers het lastig herkennen in hun werkzaamheden. Veel organisaties zijn hierom op zoek naar nieuwe manieren van bewustzijn creëren. Meridion heeft hierom – met de expertise van haar partners Onepoint en Trixir – een serious game ontwikkeld over de AVG die deelnemers
uitdaagt en hen traint op basis van best practices uit de praktijk. Meer informatie over deze game vindt u hier
Wilt u meer weten over de AVG, de kennis die Meridion heeft opgedaan of over een van onze oplossingen? Klik dan op onderstaande link of neem contact op via info@meridion.nl of 0880278300.