AVG één jaar later: welke trends zien experts?

Contact

GDPR trends
Trends AVG één jaar later

AVG één jaar later: welke trends zien experts?

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. We zijn nu bijna een jaar verder en blikken graag terug op de ervaringen met de AVG in de praktijk. We vroegen naar de ervaring en de trends die we in de markt zien aan onze partner Meridion, expert in het begeleiden van organisaties bij compliance en certificeringen op het gebied van privacy, informatiebeveiliging, kwaliteit en milieu.

Implementeren van processen
Tijdens AVG-implementatietrajecten en werkzaamheden voor andere projecten is ons opgevallen dat de AVG nog te weinig in processen geïmplementeerd is. We merken dat de focus vooral heeft gelegen op het maken en bijhouden van verwerkingsregisters en verwerkersovereenkomsten.

Het is echter van belang om processen in de organisatie te implementeren die bijvoorbeeld toestemming vastleggen, aantoonbaar maken en rechten van betrokkenen faciliteren. Je borgt de AVG namelijk pas echt in je organisatie wanneer het verbonden is met processen en niet alleen de benodigde documentatie en tools worden opgesteld.

Afdeling verantwoordelijk
Veel organisaties hebben een Functionaris Gegevensbescherming (FG) aangesteld voor de toepassing en naleving van de AVG. Hier ontstaat de misvatting dat de FG ook verantwoordelijk is voor alle taken vanuit de AVG. Hierdoor liggen de taken vaak bij een individu en zijn deze niet geborgd in de processen van de organisatie. De FG heeft dus vaak een te uitvoerende taak en zou eigenlijk alleen moeten dienen als klankbord, het scherp houden van de organisatie op het gebied van de AVG en het melden van datalekken aan de Autoriteit Persoonsgegevens.

Om de AVG beter te kunnen borgen kan het helpen om de taken over de verschillende afdelingen binnen de organisatie te verdelen en hiermee een afdeling verantwoordelijk te maken. Het is bijvoorbeeld effectief om het opstellen van verwerkersovereenkomsten bij de afdeling inkoop onder te brengen, bewustzijn bij HR en privacy by design en default bij ICT.

Privacy by design en default
We merken dat privacy by design en default weinig aandacht krijgt. Uit bijvoorbeeld privacy by default valt wel heel veel te halen waardoor het nuttig kan zijn om hier als organisatie samen met leveranciers over na te denken. Privacy by default verplicht organisaties om de privacy van hun gebruikers te beschermen door de instellingen en functies van de producten en diensten standaard op de meest privacyvriendelijke stand te zetten.

Organisaties maken vaak gebruik van Office 365. Dit biedt veel mogelijkheden voor privacy by default. Tijdens het categoriseren van informatie kan een label worden gegeven die vervolgens in Office 365 kan worden toegepast. Office 365 geeft namelijk de mogelijkheid om informatie te labelen, waardoor deze extra beveiligd wordt. Hierdoor krijgt het meer aandacht en gaat het voor medewerkers een grotere rol spelen in de organisatie.

Integratie incidenten
Organisaties hebben de komst van de AVG gebruikt voor commerciële doeleinden door nieuwe producten te ontwikkelen voor het gebruik van de AVG. Sommige organisaties hebben speciale tools gemaakt voor het bijhouden van datalekken/specifieke AVG-incidenten.

Wij raden aan om AVG-incidenten altijd te integreren met alle andere incidenten binnen de organisatie. Dit betekent dat alle incidenten worden bijgehouden in één centraal systeem. Het gebruikmaken van twee systemen is niet verkeerd, maar het incidentenregistratiesysteem wordt sterker wanneer dit geïntegreerd is. Op die manier kan er meer informatie uit het systeem worden gehaald over bijvoorbeeld welke maatregelen getroffen moeten worden en in hoeverre een maatregel integraal kan werken voor meerdere incidenten.

Overlegstructuur
Organisaties hebben over het algemeen een zeer strakke en duidelijke overlegstructuur. Toch wordt de AVG niet altijd structureel meegenomen in deze overleggen. Om de AVG goed te kunnen borgen en ervoor te zorgen dat deze toegepast blijft worden binnen de organisatie is het van belang een vast agendapunt hiervoor te creëren. Het is dan met name van belang ‘net-niet-incidenten’ te bespreken. Nu wordt nog te vaak gehandeld en overlegt op basis van gebeurde incidenten, maar de organisatie leert juist veel van incidenten die net niet hebben plaatsgevonden.

Het is dus belangrijk deze incidenten te bespreken in een overleg met een vast AVG-agendapunt waarbij direct een jaarlijkse AVG-check meegenomen kan worden om deze geborgd te houden.

PDCA
Ten slotte valt op dat organisaties hard hebben gewerkt om AVG-compliant te zijn voor mei 2018, maar het nu geleidelijk stilvalt rondom dit onderwerp. Het onderhouden van de AVG binnen de organisatie wordt vergeten of er is onvoldoende kennis over hoe dit onderhoud aangepakt moet worden.

Wij vinden dat ook de AVG, naast alle andere normen, volgens een PDCA-cyclus gevolgd moet worden. Op die manier blijft de AVG geborgd binnen de organisatie en vervaagt het harde werken van de implementatie niet. Wij bieden diverse methoden en tools om de AVG binnen uw organisatie te kunnen blijven onderhouden en verbeteren.

Meer informatie over de AVG of over een van onze oplossingen? Neem dan contact op met onepoint.