Op 25 mei 2018 – en dat is sneller dan je denkt – treedt de Algemene Verordening Gegevensverwerking (AVG) in werking. Het vastleggen van persoonsgegevens gebeurt vrijwel altijd in IT-systemen en het beheer door IT-medewerkers. Daarom raakt deze nieuwe wet ook de werkwijze van de IT-afdeling (of nog beter: de IV-afdeling) en haar medewerkers. Dus wat betekent de AVG voor de ICT?
De AVG in het kort
De Algemene Verordening Gegevensverwerking (AVG):
- versterkt de rechten van personen met betrekking tot de over hen verwerkte persoonsgegevens;
- vergroot de verplichting van organisaties die persoonsgegevens verwerken;
- geeft de Autoriteit Persoonsgegevens bevoegdheden tot controle op naleving, het onderzoeken van klachten en het opleggen van forse straffen.
Dataverwerkende organisaties moeten “passende technische en organisatorische maatregelen treffen om te waarborgen én te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd”. Het is dus onvoldoende dat zij zorgvuldig omgaan met de data, ze moeten dit ook achteraf kunnen aantonen.
ICT en AVG: prachtige kansen voor professionalisering
ICT en AVG zijn zoals gezegd onlosmakelijk met elkaar verbonden. De komst van de AVG biedt de ICT daarom prachtige kansen om haar dienstverlening te professionaliseren. Privacy en security zijn basis-servicelevels. Het voldoen aan deze eisen is daarom simpelweg het gevolg van een goed ingerichte en toegepaste werkwijze door professionals.
Dit is op zich niets bijzonders. Je kunt immers stellen dat het voldoen aan basisregels voor privacy- en security een vanzelfsprekende professionele prestatie is. Maar zolang de IT-opdrachtgever alleen in politiek correcte termen om security vraagt, zonder de middelen te leveren en de naleving aan te sturen, blijft de professionele IT-manager een roepende in de woestijn.
Die tijd is nu voorbij: de opdrachtgever moet voldoen aan de AVG (controle en forse boetes zijn reëel). En dus moet ook de IT- of IV-dienstverlener daaraan voldoen. Zelfs al vraagt de opdrachtgever er niet om, dan nog is iedere IT-manager en IT-beheerder uit zichzelf verplicht zich aan de regelgeving te houden. Kortom, het voldoen aan privacy en security is nog steeds heel professioneel maar niet langer vrijblijvend.
Het mooie is dat professioneel werken gewoon begint met bewustwording en een gezonde inrichting van de basisprocessen. Daardoor is het relatief eenvoudig om te voldoen aan elke specifieke eis of norm, en dus ook aan de specifieke eisen die vanuit AVG worden gesteld.
ICT en AVG: tien tips om snel te beginnen
Per 25 mei 2018 voldoen aan de AVG, zal voor menige IT-afdeling een forse inspanning vergen. Wacht daarom niet, maar begin nu! Hierbij alvast tien tips om snel van start te gaan:
- Focus op Bewustwording – Zonder bewustwording is de AVG kansloos; uitleg en motivering vragen continu om aandacht.
- Beschouw privacy als een servicelevel – Door privacy en security als één van de servicelevels te beschouwen, vindt realisatie plaats door middel van een standaard werkwijze.
- Creëer één geïntegreerde werkwijze – Ontwerp geen separate regels en systemen om aan de AVG te voldoen, maar integreer ze in de standaard werkwijze.
- Toepasbaarheid door eenvoud – Voorkom grote aantallen en complexe instructies, maar focus op een eenvoudige inrichting van de werkwijze waardoor deze toepasbaar blijft.
- Bescherm de IT-er – Stel de IT-medewerker niet bloot aan onnodige risico’s door strikte toepassing en beheer van rechten.
- Privacy by Design en Default – Ontwerp, bouw en onderhoud systemen zodanig dat niet meer informatie wordt gevraagd dan absoluut nodig is en de informatie veilig is.
- Privacy Impact Analyse – Voer snel deze vaak verplichte analyse uit, het geeft inzicht in de belangrijkste knelpunten.
- Functionaris voor de Gegevensbescherming (FG) – Wijs een FG aan als spil in de toepassing van de AVG.
- Realiseer de rechten van betrokken – De AVG biedt het recht op toestemming, vergetelheid en dataopvraging. Bereid de interne werkwijze en systemen zo voor dat je hier soepel aan kunt voldoen.
- Uitbesteding – IT-dienstverlening wordt steeds vaker uitbesteed, via outsourcing, SaaS of Clouddiensten. De IT als uitbesteder blijft verantwoordelijk en moet regelen dat ook deze diensten aan de AVG-eisen voldoen.
Meer lezen
Wil je meer lezen over de achtergronden van de AVG, de positie van de IT en hoe hier mee om te gaan? Download dan hier ons whitepaper over de AVG.
Privacy en security zijn servicelevels. Het is een prestatie die het positieve gevolg is van een professionele ingerichte en toegepaste werkwijze. Als manager richt je de werkwijze in en stuur je deze aan. Jouw team maakt het waar! Grijp deze kans!
Wil je meer weten over het ISM-procesmodel? Download dan ons gratis whitepaper!