Implementatie van de AVG begint met een gedegen assessment

Share this post:

Sinds 25 mei jongstleden is de Algemene Verordening Gegevensbescherming (AVG) van kracht, de nieuwe privacywet waaraan organisaties moeten voldoen. Recentelijk hebben we bedrijven in verschillende sectoren geholpen met de voorbereiding op de AVG-wetgeving. Daarbij hebben we ons met name gericht op het uitvoeren van privacy impact assessments. Het geven van advies over de te nemen technische en organisatorische maatregelen.  En het begeleiden van de implementatie van maatregelen.

Hieronder geven we een overzicht van de belangrijkste bevindingen die we in de praktijk zijn tegengekomen. Wij zijn ervan overtuigd dat veel bedrijven hier baat bij kunnen omdat zij nog niet klaar zijn met hun AVG-activiteiten. Bovendien is het werk voor de AVG nooit af. Er zijn altijd veranderingen in organisatie, systemen en processen, waarvan de AVG-impact beoordeeld moet worden. En waarvoor mogelijk specifieke maatregelen nodig zijn om compliant te blijven.

Ervaringen met de AVG

Aanpak Privacy Impact Assessment per bedrijfsproces
We hebben diverse organisaties geholpen met het uitvoeren van een privacy impact assessment. Wij adviseren het assessment uit te voeren op basis van bedrijfsprocessen. Omdat op basis van een bedrijfsproces meteen het nut en noodzaak van privacy-gevoelige informatie duidelijk wordt. Deze informatie kan ook gebruikt worden bij het inrichten van het verplichte verwerkingsregister. Bij deze aanpak helpt het als bedrijfsprocessen al zijn gedocumenteerd.

De meeste organisaties hebben echter gekozen voor een aanpak om een privacy impact assessment ´per applicatie´ uit te voeren. Met als argument dat de benodigde aanpassingen eenvoudiger per systeem kunnen worden bepaald. Vaak bleek het lastig om voor de applicaties een eigenaar te vinden die verantwoordelijk is voor het uitvoeren van het privacy impact assessment. Ook bleek vaak dat de persoonsgegevens doorgestuurd werden naar andere applicaties, waarmee de scope van de impact assessment doorlopend werd uitgebreid.

Minimaliseren van persoonsgegevens

Bij het uitvoeren van de assessments bleek regelmatig dat oude gegevens (bijvoorbeeld van eerdere bedrijfsovernames) nog steeds beschikbaar zijn en dat het verwijderen hiervan – behalve noodzakelijk vanuit privacy-overwegingen – voor zowel voor performance als opslagkosten een positief effect had.

Ook werd tijdens de assessments duidelijk welke persoonsgegevens opgeslagen worden en welke gegevens daadwerkelijk nodig zijn om een proces te ondersteunen. Vaak bleek dat onnodig persoonsgegevens worden opgeslagen en in rapporten worden getoond. Door het aanpassen hiervan wordt de informatiehuishouding versimpeld.

Centraliseren van klantgegevens

De ervaring leert dat aanpassingen gedaan moeten worden in veel systemen, omdat klantgegevens vrijwel altijd versnipperd over verschillende systemen worden bewaard. Vanuit het perspectief van AVG verdient één centrale klantenadministratie de voorkeur. Het vermindert de kans dat gegevens in verschillende systemen inconsistent zijn en dat je de klant met verkeerde informatie benadert. Bovendien reduceert het de kans op datalekken.

Toegangsbeleid centraliseren

Een vergelijkbare observatie geldt ten aanzien van Access Management. De toegangsrechten voor gebruikers worden vaak per systeem ingericht en periodiek (procedureel) gecontroleerd. Het ontbreekt de meeste organisaties aan één centraal systeem, waarbij op basis van de functie/rol van een medewerker de toegangsrechten tot systemen worden toegekend en afgedwongen. Een centraal systeem reduceert de kans op ongeautoriseerde toegang en daarmee op datalekken.

Ongestructureerde persoonsgegevens

In de praktijk zien we dat organisaties worstelen met hoe om te gaan met ongestructureerde data. Het gaat hierbij om persoonsgegevens in bijvoorbeeld Word-documenten, E-mails en Excel-sheets. En die zijn opgeslagen op bijvoorbeeld SharePoints, shared drives of persoonlijke drives.

Een praktische aanpak hiervoor bestaat uit aantal elementen. Om te beginnen raden wij aan om met een tool alle documenten te scannen om vast te stellen welke documenten persoonsgegevens bevatten. Ook het opschonen van de toegangsrechten kan grotendeels geautomatiseerd worden. Vervolgens zullen de eigenaren van de documenten of van de SharePoint sites niet meer gebruikte bestanden moeten verwijderen. En ze moeten ervoor zorgen dat bestanden met persoonsgegevens voldoende beschermd worden. Daarnaast zal er een handleiding voor werknemers moeten zijn, waarin uitgelegd staat hoe om te gaan met persoonsgegevens in documenten.

Wij hebben ervaren dat bedrijven prioriteit geven aan verbeteringen van voor de klant in het oog springende onlinesystemen en -processen. Ook wordt prioriteit gegeven aan onderwerpen waarvan wordt verwacht dat ze makkelijker te controleren zijn. Zoals de “rechten van betrokkenen”, het verwerkingsregister en de verwerkersovereenkomsten.

Lagere prioriteit hebben vaak systemen en processen waarin medewerkersgegevens verwerkt worden en ook algemene beveiligingsmaatregelen. Ook verloopt de realisatie van verbeteringen aan Business Intelligence omgevingen trager, evenals het beter borgen van de kwaliteit van de gegevens en de concrete invulling van “security by design”. Deze onderwerpen zijn echter niet minder belangrijk.

Conclusie

De dreiging van substantiële boetes maakt dat bedrijven in actie zijn gekomen en dat de regelgeving serieus wordt genomen. De hype, die werd veroorzaakt door 25 mei, lijkt over maar heeft wel gezorgd voor een momentum. Veel verbeteringen en aanpassingen worden nog geïmplementeerd.

Het voldoen aan de AVG is echter geen eenmalige actie, maar vereist dat bedrijven continu aandacht houden voor de wijze waarop persoonsgegevens worden verwerkt. Wenst u meer info kan u steeds contact met ons opnemen en deze webpagina’s doornemen.

Co-auteurs:

Sicco Baauw, Cognitive Process Transformation & GDPR consultant, Marcel Louwes, IT architect en Marcel Verwiel, Financial Services Business Consultant.