fbpx

IT en AVG: mooie kansen, maar wacht niet te lang!

Wim Hoving

Architect ISM-methode

Op 25 mei 2018 – en dat is sneller dan je denkt – treedt de Algemene Verordening Gegevensverwerking (AVG) in werking. Het vastleggen van persoonsgegevens gebeurt vrijwel altijd in IT-systemen en het beheer door IT-medewerkers. Daarom raakt deze nieuwe wet ook de werkwijze van de IT-afdeling (of nog beter: de IV-afdeling) en haar medewerkers. Dus wat betekent de AVG voor de ICT?

De AVG in het kort

De Algemene Verordening Gegevensverwerking (AVG):

  • versterkt de rechten van personen met betrekking tot de over hen verwerkte persoonsgegevens;
  • vergroot de verplichting van organisaties die persoonsgegevens verwerken;
  • geeft de Autoriteit Persoonsgegevens bevoegdheden tot controle op naleving, het onderzoeken van klachten en het opleggen van forse straffen.

Dataverwerkende organisaties moeten “passende technische en organisatorische maatregelen treffen om te waarborgen én te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd”. Het is dus onvoldoende dat zij zorgvuldig omgaan met de data, ze moeten dit ook achteraf kunnen aantonen.

ICT en AVG: prachtige kansen voor professionalisering

ICT en AVG zijn zoals gezegd onlosmakelijk met elkaar verbonden. De komst van de AVG biedt de ICT daarom prachtige kansen om haar dienstverlening te professionaliseren. Privacy en security zijn basis-servicelevels. Het voldoen aan deze eisen is daarom simpelweg het gevolg van een goed ingerichte en toegepaste werkwijze door professionals.

Dit is op zich niets bijzonders. Je kunt immers stellen dat het voldoen aan basisregels voor privacy- en security een vanzelfsprekende professionele prestatie is. Maar zolang de IT-opdrachtgever alleen in politiek correcte termen om security vraagt, zonder de middelen te leveren en de naleving aan te sturen, blijft de professionele IT-manager een roepende in de woestijn.

Die tijd is nu voorbij: de opdrachtgever moet voldoen aan de AVG (controle en forse boetes zijn reëel). En dus moet ook de IT- of IV-dienstverlener daaraan voldoen. Zelfs al vraagt de opdrachtgever er niet om, dan nog is iedere IT-manager en IT-beheerder uit zichzelf verplicht zich aan de regelgeving te houden. Kortom, het voldoen aan privacy en security is nog steeds heel professioneel maar niet langer vrijblijvend.

Het mooie is dat professioneel werken gewoon begint met bewustwording en een gezonde inrichting van de basisprocessen. Daardoor is het relatief eenvoudig om te voldoen aan elke specifieke eis of norm, en dus ook aan de specifieke eisen die vanuit AVG worden gesteld.

ICT en AVG: tien tips om snel te beginnen

Per 25 mei 2018 voldoen aan de AVG, zal voor menige IT-afdeling een forse inspanning vergen. Wacht daarom niet, maar begin nu! Hierbij alvast tien tips om snel van start te gaan:

  1. Focus op Bewustwording – Zonder bewustwording is de AVG kansloos; uitleg en motivering vragen continu om aandacht.
  2. Beschouw privacy als een servicelevel – Door privacy en security als één van de servicelevels te beschouwen, vindt realisatie plaats door middel van een standaard werkwijze.
  3. Creëer één geïntegreerde werkwijze – Ontwerp geen separate regels en systemen om aan de AVG te voldoen, maar integreer ze in de standaard werkwijze.
  4. Toepasbaarheid door eenvoud – Voorkom grote aantallen en complexe instructies, maar focus op een eenvoudige inrichting van de werkwijze waardoor deze toepasbaar blijft.
  5. Bescherm de IT-er – Stel de IT-medewerker niet bloot aan onnodige risico’s door strikte toepassing en beheer van rechten.
  6. Privacy by Design en Default – Ontwerp, bouw en onderhoud systemen zodanig dat niet meer informatie wordt gevraagd dan absoluut nodig is en de informatie veilig is.
  7. Privacy Impact Analyse – Voer snel deze vaak verplichte analyse uit, het geeft inzicht in de belangrijkste knelpunten.
  8. Functionaris voor de Gegevensbescherming (FG) – Wijs een FG aan als spil in de toepassing van de AVG.
  9. Realiseer de rechten van betrokken – De AVG biedt het recht op toestemming, vergetelheid en dataopvraging. Bereid de interne werkwijze en systemen zo voor dat je hier soepel aan kunt voldoen.
  10. Uitbesteding – IT-dienstverlening wordt steeds vaker uitbesteed, via outsourcing, SaaS of Clouddiensten. De IT als uitbesteder blijft verantwoordelijk en moet regelen dat ook deze diensten aan de AVG-eisen voldoen.

Meer lezen

Wil je meer lezen over de achtergronden van de AVG, de positie van de IT en hoe hier mee om te gaan? Download dan hier ons whitepaper over de AVG.

Privacy en security zijn servicelevels. Het is een prestatie die het positieve gevolg is van een professionele ingerichte en toegepaste werkwijze. Als manager richt je de werkwijze in en stuur je deze aan. Jouw team maakt het waar! Grijp deze kans!

Wil je meer weten over het ISM-procesmodel? Download dan ons gratis whitepaper!

service management systeem ism methode servitect

ICT en AVG

ISM5: 11 vernieuwingen en kansen

Met de publicatie van ISM 5 zijn veel ontwikkelingen in modern IT-servicemanagement samengebracht in één praktische geïntegreerde en gefaseerd toepasbare methode.De vraag ITIL, DevOps of agile is...

Daarom is een mix van ITSM-methoden populair

IT-managers willen graag hun werkwijze moderniseren met methodieken zoals DevOps, ITIL4 en Agile. Dat gebeurt vaak stap voor stap, met een hybride mix van elementen uit diverse methodieken. De...
it-trends-2020 itsm ism portal servitect

De vijf belangrijkste IT-servicemanagement trends van 2020

Een nieuw jaar is altijd een goed moment om te kijken welke IT-trends en -ontwikkelingen hoog op de agenda staan. We hebben daarom laten onderzoeken welke IT-Service Management trends IT-managers in...

Welke zekerheid biedt de ISO 27001 norm en audit?

Met de ISM-methode wordt de ISO 27001 norm een integraal onderdeel van het IT service management. Compliancy is dus gegarandeerd.

it service management ism methode

Zes wensen van de IT-manager voor succesvol service management

De rol van IT in organisaties is continu in ontwikkeling. Wat heb je nu écht nodig om van je IT service management een goed geoliede machine te maken? Lees het in deze blog!

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

Fokkerstraat 16
3833 LD Leusden

info@ismportal.nl
+3188 – 2034000