fbpx

IT en AVG: mooie kansen, maar wacht niet te lang!

Wim Hoving

Architect ISM-methode

Op 25 mei 2018 – en dat is sneller dan je denkt – treedt de Algemene Verordening Gegevensverwerking (AVG) in werking. Het vastleggen van persoonsgegevens gebeurt vrijwel altijd in IT-systemen en het beheer door IT-medewerkers. Daarom raakt deze nieuwe wet ook de werkwijze van de IT-afdeling (of nog beter: de IV-afdeling) en haar medewerkers. Dus wat betekent de AVG voor de ICT?

De AVG in het kort

De Algemene Verordening Gegevensverwerking (AVG):

  • versterkt de rechten van personen met betrekking tot de over hen verwerkte persoonsgegevens;
  • vergroot de verplichting van organisaties die persoonsgegevens verwerken;
  • geeft de Autoriteit Persoonsgegevens bevoegdheden tot controle op naleving, het onderzoeken van klachten en het opleggen van forse straffen.

Dataverwerkende organisaties moeten “passende technische en organisatorische maatregelen treffen om te waarborgen én te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd”. Het is dus onvoldoende dat zij zorgvuldig omgaan met de data, ze moeten dit ook achteraf kunnen aantonen.

ICT en AVG: prachtige kansen voor professionalisering

ICT en AVG zijn zoals gezegd onlosmakelijk met elkaar verbonden. De komst van de AVG biedt de ICT daarom prachtige kansen om haar dienstverlening te professionaliseren. Privacy en security zijn basis-servicelevels. Het voldoen aan deze eisen is daarom simpelweg het gevolg van een goed ingerichte en toegepaste werkwijze door professionals.

Dit is op zich niets bijzonders. Je kunt immers stellen dat het voldoen aan basisregels voor privacy- en security een vanzelfsprekende professionele prestatie is. Maar zolang de IT-opdrachtgever alleen in politiek correcte termen om security vraagt, zonder de middelen te leveren en de naleving aan te sturen, blijft de professionele IT-manager een roepende in de woestijn.

Die tijd is nu voorbij: de opdrachtgever moet voldoen aan de AVG (controle en forse boetes zijn reëel). En dus moet ook de IT- of IV-dienstverlener daaraan voldoen. Zelfs al vraagt de opdrachtgever er niet om, dan nog is iedere IT-manager en IT-beheerder uit zichzelf verplicht zich aan de regelgeving te houden. Kortom, het voldoen aan privacy en security is nog steeds heel professioneel maar niet langer vrijblijvend.

Het mooie is dat professioneel werken gewoon begint met bewustwording en een gezonde inrichting van de basisprocessen. Daardoor is het relatief eenvoudig om te voldoen aan elke specifieke eis of norm, en dus ook aan de specifieke eisen die vanuit AVG worden gesteld.

ICT en AVG: tien tips om snel te beginnen

Per 25 mei 2018 voldoen aan de AVG, zal voor menige IT-afdeling een forse inspanning vergen. Wacht daarom niet, maar begin nu! Hierbij alvast tien tips om snel van start te gaan:

  1. Focus op Bewustwording – Zonder bewustwording is de AVG kansloos; uitleg en motivering vragen continu om aandacht.
  2. Beschouw privacy als een servicelevel – Door privacy en security als één van de servicelevels te beschouwen, vindt realisatie plaats door middel van een standaard werkwijze.
  3. Creëer één geïntegreerde werkwijze – Ontwerp geen separate regels en systemen om aan de AVG te voldoen, maar integreer ze in de standaard werkwijze.
  4. Toepasbaarheid door eenvoud – Voorkom grote aantallen en complexe instructies, maar focus op een eenvoudige inrichting van de werkwijze waardoor deze toepasbaar blijft.
  5. Bescherm de IT-er – Stel de IT-medewerker niet bloot aan onnodige risico’s door strikte toepassing en beheer van rechten.
  6. Privacy by Design en Default – Ontwerp, bouw en onderhoud systemen zodanig dat niet meer informatie wordt gevraagd dan absoluut nodig is en de informatie veilig is.
  7. Privacy Impact Analyse – Voer snel deze vaak verplichte analyse uit, het geeft inzicht in de belangrijkste knelpunten.
  8. Functionaris voor de Gegevensbescherming (FG) – Wijs een FG aan als spil in de toepassing van de AVG.
  9. Realiseer de rechten van betrokken – De AVG biedt het recht op toestemming, vergetelheid en dataopvraging. Bereid de interne werkwijze en systemen zo voor dat je hier soepel aan kunt voldoen.
  10. Uitbesteding – IT-dienstverlening wordt steeds vaker uitbesteed, via outsourcing, SaaS of Clouddiensten. De IT als uitbesteder blijft verantwoordelijk en moet regelen dat ook deze diensten aan de AVG-eisen voldoen.

Meer lezen

Wil je meer lezen over de achtergronden van de AVG, de positie van de IT en hoe hier mee om te gaan? Download dan hier ons whitepaper over de AVG.

Privacy en security zijn servicelevels. Het is een prestatie die het positieve gevolg is van een professionele ingerichte en toegepaste werkwijze. Als manager richt je de werkwijze in en stuur je deze aan. Jouw team maakt het waar! Grijp deze kans!

Wil je meer weten over het ISM-procesmodel? Download dan ons gratis whitepaper!

service management systeem ism methode servitect

ICT en AVG
zorg en ict ism methode

De groeiende kloof tussen zorg en ICT, en hoe deze te overbruggen!

De invloed van de ICT op de zorg is de laatste tien jaar enorm toegenomen. De manier waarop patiënten en cliënten tegenwoordig zorg ontvangen, is niet meer te vergelijken met vroeger. Door de...
NEN7510 - informatiebeveiliging in de zorg ism methode

NEN7510, de kans voor betere patiëntenzorg én IT-diensten!

Informatiebeveiliging in de zorg wordt vaak gezien als een last. Terwijl werken met NEN 7510 juist de kwaliteit van je patiëntenzorg kan verbeteren!

ISM maakt ITIL toegankelijk en praktisch

ITIL v4 beschrijft concepten, principes en practices. ITIL v4 geeft dus kenmerken en eigenschappen weer. Het is uitgebreid en informerend van aard en zeer geschikt als referentiemodel. Met ISM hebben we onder andere de kennis uit ITIL v4 op een praktische en herkenbare wijze afgestemd en doelmatig gebundeld in één moderne oplossing. Onze ISM-methode is dus zeer interessant voor iedere IT-er die meer kennis wil over de terminologie, toepassing en werking van modern IT service management. Daarmee is de ISM-methode dus een direct bruikbare toepassing van ITIL v4.

customer value

If your CV doesn’t mean Customer Value, it has no value

Creating Customer Value is the only justification of our work. No matter if we are managing, supporting or operational active, more and more we realize that everything we do, should be done with the...

Groeien naar customer excellence? Het kan in 2022!

Na mooie ontwikkelingen in 2021, en helaas ook een aantal bedreigingen, lonkt 2022. Niet alleen zit de klant te springen om betere IT-diensten, de kansen ze te realiseren groeien snel. In 2021 zagen...

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

Fokkerstraat 16
3833 LD Leusden

info@ismportal.nl
+3188 – 2034000