Spiegeltje, spiegeltje aan de wand…
Wie heeft de beste privacy organisatie van het land? We leren met de SyRi-zaak, de discussies over de corona-app en ‘de Broedkamer’ bij de Belastingdienst dat de aandacht voor privacy belangrijker dan ooit is. Ook de toename van het aantal klachten dat binnen komt bij de Autoriteit Persoonsgegevens (AP) laat zien dat burgers privacy steeds belangrijker vinden. Kortom, het goed inrichten van je privacy organisatie is belangrijker dan ooit!
Toenemende honger naar data en meer eisen aan privacy?
Enerzijds zien we dat organisaties steeds innovatievere technieken zoals Artificial Intelligence en Machine Learning toepassen. Smart City toepassingen, Artifical Intelligence en Machine Learning hebben een component gemeen: ze hebben extreem veel data nodig om te kunnen functioneren. We zien dat deze honger naar data in de toekomst alleen maar toeneemt.
Anderzijds merken we dat de burger steeds meer eisen stelt aan een organisatie als het gaat om haar privacy. Deze twee ontwikkelingen gaan gepaard met een grote toename aan privacy conflicten. Klanten, burgers en cliënten worden steeds kritischer.
Privacy heeft een grote invloed op de reputatie van de organisatie: het is daarom een uitdaging voor organisaties om hun privacy goed in te bedden in de organisatie en een integraal onderdeel te laten zijn van hun bedrijfsvoering. Hoe kun je nu met een minimale inspanning de privacy van klanten, burgers en/of cliënten beschermen? Het is eenvoudiger dan je denkt!
Voorkom een nieuw AVG-project, voer periodiek onderhoud uit!
Uit de Privacy Compliance Benchmark (Highberg-VKA, 2019) blijkt dat veel organisaties de basiszaken rondom de Algemene Verordening Gegevensbescherming (AVG) op orde hebben. Er is een verwerkingsregister, er zijn Data Protection Impact Assessments (DPIA’s) uitgevoerd, er is een datalekprotocol en er zijn verwerkersovereenkomsten afgesloten. Dit implementatietraject heeft veel bloed, zweet en tranen gekost. Dat was ook nodig. Wil je immers een stevig huis bouwen, dan is het raadzaam een goed fundament neer te zetten.
Nu begint echter de ‘beheerfase’: het periodiek onderhoud. Bij een huis doe je dat door het op tijd te schilderen, kozijnen, dakgoten of een cv-ketel tijdig te vervangen en kleine gebreken snel op te lossen. Zo wordt groot achterstallig onderhoud voorkomen. Hetzelfde geldt voor de AVG. Periodiek onderhoud voorkomt dat je over 2 of 3 jaar weer een project moet starten om de boel ‘recht te trekken’. Hoe is het eigenlijk gesteld met het AVG-onderhoud?
Even in de spiegel kijken
Is het verwerkingsregister, dat je drie jaar geleden hebt gemaakt, nog actueel? Zijn er verwerkingen gewijzigd, bijgekomen of juist afgegaan? Wat heb je geleerd van de datalekken van afgelopen jaren? Is er een trend waarneembaar? Worden de verplichtingen uit de verwerkersovereenkomsten nageleefd door jouw verwerkers? Zijn de maatregelen uit de DPIA’s ook adequaat opgevolgd? Hoeveel DPIA’s moet je überhaupt nog doen?
Deze vragen laten zien dat het bijhouden van de basis best nog wel wat aandacht vraagt. In de praktijk zien we dat veel privacy officers, functionarissen voor gegevensbescherming en bestuurders behoefte hebben aan inzicht, overzicht en grip op privacy activiteiten. Het liefst ook nog in een mooie tooling die in een oogopslag laat zien hoe volwassen je bent op privacy gebied. Voor je het weet loop je weer achter de feiten aan en moet je weer opnieuw beginnen.
Meten is weten!
Dé manier om inzicht te krijgen én grip te houden op de AVG is; meten. Wil je met zo weinig mogelijk inspanning inzicht en grip houden, dan kan het meten met dergelijke indicatoren helpen om privacy integraal onderdeel te laten worden van de ‘normale’ bedrijfsvoering.
Natuurlijk verschillen de indicatoren per organisatie. Het hangt onder meer af van je huidige volwassenheidsniveau, het gewenste ambitieniveau en de gedetailleerdheid die je wenst. Door te werken met indicatoren wordt de AVG integraal onderdeel van je reguliere bedrijfsvoering. Het is geen apart project of programma meer, maar het vormt integraal onderdeel van het kwaliteitssysteem, de planning en control cyclus, de PDCA-cyclus en de budgetrondes. Kortom, het draait automatisch mee met de jaarcyclus. Dit heeft het comfortabele gevoel van ‘in control’ zijn.
Welk volwassenheidsniveau je als organisatie ook hebt, wij geloven dat je met slechts 12 indicatoren grip houdt op de AVG. Zoals beloofd: met een minimale inspanning en het beste resultaat! We geven een aantal voorbeelden om het concreet te maken. Daarbij geven we ook een illustratie (de privacy roadmap) hoe je dit in mooie dashboards kunt gieten. Deze zijn essentieel om het inzicht te krijgen en te behouden.