Frank Koppejan, directeur Privacy Company, schreef speciaal voor AWVN een gastblog. Hij heeft zes tips voor 2019 om, na de invoering van de AVG, het privacybeleid van uw organisatie verder te verbeteren en het privacybewustzijn onder medewerkers te vergroten.

Na hard gewerkt te hebben om op 25 mei 2018 (een deel van) de privacyzaken te hebben geregeld, zijn we nu een aantal maanden verder. Zoals verwacht, is de wereld niet vergaan. Toch is het belangrijk dat het onderwerp privacy een structurele plek op de agenda krijgt bij directie en medewerkers. Niet alleen omdat de AVG dit vraagt, maar ook omdat het onderwerp dit verdient. Klanten, burgers, leveranciers en andere belanghebbenden verwachten dat u goed met hun gegevens omgaat. En als het goed is, wilt u dit zelf ook.

Het projectteam heeft voor de zomer waarschijnlijk veel werk verzet. De uitdaging is nu om die werkzaamheden naar de ‘normale’ organisatie te brengen. Dus meenemen in de planning en prioriteiten. En werkzaamheden laten uitvoeren door mensen in de verschillende onderdelen van de organisatie. Dat is in veel gevallen makkelijker gezegd dan gedaan. Dat vraagt kennis, communicatie en training. Natuurlijk hoeft niet iedereen expert te worden. Maar basisbegrip is wel nodig. En misschien heeft uw organisatie de verantwoordelijkheden belegd bij mensen in de verschillende afdelingen. Dat vraagt coördinatie en afstemming. En natuurlijk rapportage.

Kansen zien en risico’s beheersen voor de toekomst

Goed inzicht in het gebruik van persoonsgegevens en de daarbij horende risico’s, is zinvol. Misschien heeft u wel meer gegevens dan u dacht, heeft u overbodige systemen of kwamen uit het register van verwerkingsactiviteiten nieuwe ideeën voor dienstverlening. De beheerfase vraagt inzicht in de risico’s, analyse van de trends (datalekken, inzageverzoeken) en continue verbeteringen van de processen en de bijbehorende risico’s (plan-do-check-act). Om gevoel te krijgen waar u staat, wilt u misschien wel een audit laten uitvoeren, uw privacyvolwassenheid meten of zelfs een keurmerk behalen.
Heeft u al zicht op uw kansen en risico’s? Heeft u uw privacy organisatie al ingericht? En is privacy al een vast aandachtspunt van uw managementteam? We horen het graag. En mocht u echt alleen maar nieuwe regelgeving interessant vinden: de nieuwe ePrivacy-verordening komt eraan.

Zes tips

Zes tips om ook in 2019 voldoende aandacht te geven aan privacy en de AVG. AVG is immers geen eenmalig kunstje, maar vraagt blijvende aantoonbaarheid (accountability).

1. Evalueer de stand van zaken

Er is vast hard gewerkt in het kader van het AVG-project. En de overdracht van projectteam naar de lopende organisatie is in gang gezet. Dit is een goed moment om te bepalen hoe de organisatie ervoor staat. Er zijn verschillende manieren om dit te evalueren. Mogelijkheden daarvoor zijn bijvoorbeeld het uitvoeren van een quickscan of het CIP-volwassenheidsmodel (PriSA). Op basis van deze evaluatie krijgt u een beeld hoever de organisatie op de verschillende privacy-onderwerpen is gevorderd. Dit beeld kunt u dan weer delen met de relevante personen in de organisatie. Bijvoorbeeld met de directie, juridische zaken, IT en de HR-afdeling.

2. Bepaal de ambitie

Op basis van de evaluatie, kunt u de ambitie bepalen. Wil de organisatie het minimale doen, het gemiddelde of juist een voorloperspositie innemen? En wil de organisatie verbeteren en zo ja, op welke onderdelen? Is een kleine verbetering gewenst of juist een grote? Betrek hierbij de relevante mensen in de organisatie. Het gaat immers om de ambitie van de organisatie in brede zin, en het opstellen van een haalbaar plan voor 2019 en verder.

3. Stel de privacy-roadmap op

Op basis van de evaluatie en de ambitie, kunt u een roadmap of projectplan maken. Deze roadmap kunt u weer gebruiken om activiteiten te plannen. En om te bepalen of er eventueel nog (extra) budget benodigd is of dat de ambitie bijgesteld moet worden. Door de roadmapactiviteiten te prioriteren en een ruwe tijd/kosteninspanning te maken, voorkomt u dat het budget in zijn geheel wordt afgewezen. Mocht de budgetvraag te hoog zijn, dan kunnen in ieder geval delen doorgang vinden.

4. Bevestig resources en vraag budget aan

Om te zorgen dat privacy organisatiebreed gedragen wordt, werken veel organisaties met privacy- contactpersonen. Deze privacy contactpersonen zijn het verlengstuk van privacy-officer of helpen de FG. Soms verenigen deze privacy-contactpersonen zich zelfs in een data protection board. Om te zorgen dat privacy niet als bijzaak wordt gezien, is commitment op de structurele inzet van deze collega’s bij directie en leidinggevende noodzakelijk voor het succesvol uitvoeren van privacybeleid. Soms is er externe hulp nodig om dit verder uit te werken en implementeren. Dat kan variëren van advies en training tot privacy-managementsoftware en e-learning. Mocht er (aanvullend) budget nodig zijn, vraag dit dan tijdig aan.

5. Monitor de uitrol en voortgang

Uiteindelijk gaat het uiteraard om de uitvoering. Door slimme rapportages en metingen in te zetten kunt u de voortgang monitoren. En kan eventueel bijsturen. Het helpt om hier periodiek over te rapporteren, om de voortgang te zien en tijdig bij te sturen, indien nodig.

6. Awareness, awareness, awareness

Feitelijke compliance begint en eindigt met organisatiebreed bewustzijn, ieder voor zijn eigen functie en expertise. Maak dit dan ook zoveel mogelijk onderdeel van de vaste processen. Bijvoorbeeld door het toe te voegen aan de instructie van nieuwe medewerkers. Of door het te combineren met bewustzijnsactiviteiten op het gebied van informatiebeveiliging.

We wensen jullie alvast veel succes met het voorbereiden van de privacy activiteiten voor 2019. En mochten jullie hulp nodig hebben, dan horen we dat natuurlijk graag.