Geplaatst: 02-08-2017

Blog: De AVG: een olifant die je makkelijk kunt opeten

Ten tijde van dit schrijven waren er nog 42 weken en 1 dag tot 25 mei 2018 en de invoering van de Algemene Verordening Gegevensbescherming (AVG). Wanneer je dit leest zal het moment tot invoering al verder genaderd zijn, wat inhoudt dat je of de organisatie inmiddels minder tijd hebt om aan de gestelde vereisten te voldoen. 

Ben ik al te laat?
Het aanpakken van de AVG kan net zo voelen als vroeger in de collegebanken wanneer de docent dreigend aangaf: “wie nu nog niet begonnen is met studeren voor de tentaminering, is te laat”. Heb je als organisatie nog helemaal niets gedaan ter implementatie van de AVG, dan zal het vanaf nu een buitengewoon grote uitdaging worden om alles op tijd geïmplementeerd te hebben. Maar niet onmogelijk! Het is net als het opeten van een olifant, gewoon hapje voor hapje aanpakken. 

Het begin
Begin klein en vooral pragmatisch. Allereerst is het van belang om te weten waar je als organisatie staat en waar je naar toe wilt: het beste jongetje van de klas, de minimale vereisten of er tussenin. Wat wordt de organisatorische stip aan de horizon? Vervolgens maak je een inventarisatie van de benodigde mensen, processen en technologie om de stip op de horizon te bereiken. Naast de technische benodigdheden goed inrichten en je processen AVG complient te krijgen, is het belangrijk om je organisatie mee te nemen in de veranderingen in de werkzaamheden die kunnen ontstaan. Wellicht moeten collega’s met andere systemen gaan werken of andere procedures gaan volgen. Met goede communicatie en veranderkundige technieken help je de organisatie door het veranderproces heen. 

De olifant klaarmaken
Wanneer je weet waar de organisatie naar toe moet, voer je de 0-meting uit. Hiermee bepaal je het vertrekpunt. Zo maak je inzichtelijk waar de organisatie nu staat en welke discrepanties er zijn ten opzichte gestelde vereisten van de AVG. Veel zal hierbij afhangen van het feit of de organisatie al aan alle vereisten voldoet die de Wet bescherming persoonsgegevens (Wbp) met zich meebrachten. Met voldoen bedoelen wij het geïmplementeerd hebben van de processen die erop toezien dat middels de Plan-Do-Check-Act cyclus aan de gestelde vereisten wordt voldaan. 

Next bite!
Komt uit deze 0-meting naar voren dat je veel zaken al op orde hebt, dan kun je beginnen met de aanvullende AVG-vereisten zoals de verplichte privacy boekhouding (verwerkings-, toestemmings- -en bewerkersregister). Uit de verschillende verandertrajecten die ilionx heeft uitgevoerd, is meerdere malen gebleken dat de privacyboekhouding het fundament is van AVG-compliance. De vele andere vereisten waar aan voldaan moeten worden, vinden allemaal op de een of andere manier hun basis in een goede privacy boekhouding. Houd er rekening mee dat met het inzichtelijk maken je nog maar de eerste stap hebt voltooid. Daarna zal het geïmplementeerd en bijgehouden moeten worden. Een goed voorbeeld hiervan is het  verwerkingsregister, waarvoor een organisatie zowel gestructureerde als ongestructureerde data zal moeten onderzoeken en documenteren. Vervolgens moet ervoor gezorgd worden dat indien hier wijzigingen in optreden de privacy officer op het juiste moment wordt ingeschakeld.

Aan tafel
Op de vraag waar je als organisatie dient te beginnen en waar er allemaal aan gedacht moet worden om voorbereid te zijn op de AVG  is het antwoord: net als het verorberen van een olifant, doe het hapje voor hapje! Waarbij het wel ons advies is om nu te beginnen met de eerste gang. 

mr. Rion Rijker
Privacy jurist


Wilt u meer weten?

Op donderdag 21 september is ilionx aanwezig op het Data Privacy Congres van Heliview te Nijkerk. Wilt u hier graag bij zijn? Schrijft u zich dan als gast van ilionx kosteloos in via deze link.