IT en AVG, mooie kansen, maar wacht niet te lang!

Wim Hoving

Architect ISM-Methode

25 mei 2018 - en dat is sneller dan je denkt - treedt de Algemene Verordening Gegevensverwerking (AVG) in werking.

De AVG:

  • Versterkt de rechten van personen met betrekking tot de persoonsgegevens die over hen verwerkt worden
  • Vergroot de verplichting van organisaties die persoonsgegevens verwerken
  • Geeft de Autoriteit Persoonsgegevens bevoegdheden tot controle op naleving, het onderzoeken van klachten en het opleggen van forse straffen

Omdat persoonsgegevens vrijwel altijd vastgelegd worden in IT-systemen, die worden beheerd door IT-medewerkers, zal ook de werkwijze van de IT-afdeling (of nog beter: de IV-afdeling) en haar medewerkers worden geraakt door de AVG.

Dataverwerkende organisaties moeten daarom “passende technische en organisatorische maatregelen treffen om te waarborgen én te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd”. Het is dus onvoldoende dat er zorgvuldig met de data wordt omgegaan, dit moet ook achteraf aangetoond kunnen worden.

De komst van de AVG biedt de IT prachtige kansen om haar dienstverlening te professionaliseren. Privacy en security zijn basis servicelevels en het voldoen aan deze eisen is simpelweg het gevolg van een goed ingerichte en toegepaste werkwijze door professionals.

Dit is op zich niets bijzonders. Je kunt immers stellen dat het voldoen aan basis privacy- en securityregels normaal professioneel presteren is. Maar zolang de IT-opdrachtgever alleen in politiek correcte termen om security vraagt, maar niet de middelen levert en de naleving niet aanstuurt, blijft ook de professionele IT-manager een roepende in de woestijn.

Die tijd is nu voorbij: de opdrachtgever moet voldoen aan de AVG (controle en forse boetes zijn reëel), en dus moet ook de IT- of IV-dienstverlener daaraan voldoen. En ook al vraagt de opdrachtgever er misschien niet om, dan nog is iedere IT-manager en IT-beheerder uit zichzelf verplicht zich aan de regelgeving te houden. Kortom het voldoen aan privacy en security is niet meer vrijblijvend, maar wel nog steeds heel professioneel.

Het mooie is dat professioneel werken gewoon begint met bewustwording en een gezonde inrichting van de basisprocessen. Daardoor is het relatief eenvoudig om te voldoen aan elke specifieke eis of norm, en dus ook aan de specifieke eisen die vanuit AVG worden gesteld.

Het per 25 mei 2018 voldoen aan de AVG zal voor menige IT-afdeling een forse inspanning vergen: wacht daarom niet, maar begin nu! Hierbij alvast tien tips om snel mee te beginnen:

  1. Focus op Bewustwording – zonder bewustwording is de AVG kansloos, uitleg en motivering vergt continu aandacht.
  2. Beschouw privacy als een servicelevel – Door privacy en security als één van de servicelevels te beschouwen kan de realisatie plaatsvinden door toepassing van de standaard werkwijze.
  3. Creëer één geïntegreerde werkwijze - creëer geen separate regels en systemen om aan de AVG te voldoen maar integreer deze in de standaard werkwijze.
  4. Toepasbaarheid door eenvoud – voorkom grote hoeveelheden en complexe instructies maar focus op een eenvoudige inrichting van de werkwijze waardoor deze toepasbaar wordt.
  5. Bescherm de IT-er – zorg dat de IT-er niet bloot gesteld wordt aan onnodige risico’s door strikte toepassing en beheer van rechten.
  6. Privacy by Design en Default – ontwerp, bouw en onderhoud systemen zodanig dat niet meer informatie wordt gevraagd dan absoluut nodig is, en dat de informatie veilig is.
  7. Privacy Impact Analyse – voer snel deze vaak verplichte analyse uit, het geeft inzicht in de belangrijkste knelpunten.
  8. Functionaris voor de Gegevensbescherming (FG) – Wijs een FG aan als spil in de toepassing van de AVG.
  9. Realiseer de rechten van betrokken – De AVG biedt het recht op toestemming, vergetelheid en dataopvraging. Bereid de interne werkwijze en systemen zo voor dat hieraan soepel voldaan kan worden.
  10. Uitbesteding – IT-dienstverlening wordt steeds vaker uitbesteed, via outsourcing, SaaS of Clouddiensten. De IT als uitbesteder blijft verantwoordelijk en moet regelen dat ook deze diensten aan de AVG-eisen voldoen.

 

Wie meer wil lezen over de achtergronden van de AVG, de positie van de IT, hoe hier mee om te gaan, inclusief een verdere uitwerking van de tips, kan hier de whitepaper downloaden.

Privacy en security zijn servicelevels. Het is een prestatie die het gevolg is van een professionele ingerichte en toegepaste werkwijze. Als manager richt je de werkwijze in en stuurt deze aan. Jouw team maakt het waar! Grijp deze kans!

Is de IT-manager de bottleneck?

Karikatuur Ik hoor IT-managers vaak terecht verzuchten dat hun teams niet functioneren, de klant niet begrijpen en niet in staat zijn om flexibel te reageren. Wat ik jammer vind is dat de...
itil processen ism methode it

Maak ITIL eenvoudig, beheersbaar en agile met ISM

Als IT-manager wil je grip op processen. ITIL wordt veel gebruikt maar is complex. Houd ITIL-processen eenvoudig, beheersbaar en agile met de juiste aanpak.

De verblindende schoonheid van DevOps

Modern Service Management (MSM) als randvoorwaarde voor DevOps Vragen en antwoorden Op de Service Manager Dag heb ik weer mooie verhalen gehoord. Met name DevOps trok daarin de aandacht, en...

CEO: “Geld maakt niet gelukkig!”

Ruimhartig CEO’s, directeuren, voorzitters van RvB en CIO’s steken jaarlijks vele miljoenen in de IT. Allen herkennen het grote belang van goede IT-ondersteuning voor de bedrijfsvoering. Ze...

Security is toch gewoon een servicelevel?

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch...

Het ISM-procesmodel

Wil je je IT-beheer verder professionaliseren? Dit e-boek maakt het mogelijk de ISM-methode direct, eenvoudig en snel in te voeren, toe te passen en te begrijpen! 70 pagina's direct toepasbaar

Wim Hoving

Wim Hoving

Architect ISM-Methode

De ideeën en oplossingen in dit blog maken deel uit van de ISM-methode. Deze methode biedt een IT-organisatie een volledig geïntegreerde werkwijze. Een werkwijze op zowel strategische, tactisch en operationeel niveau. In ISM zijn de meest praktische ideeën uit ITIL®, Lean, DevOps en OBM geïntegreerd in één compact en toepasbaar framework. Het ISM-gedachtengoed is als open source vrij en universeel toepasbaar. Deze teksten zijn auteursrechtelijk beschermd en mogen met bronvermelding vrijelijk verspreid worden.

ISM Portal

Zernikepark 4
9747 AN Groningen

info@ismportal.nl
050 - 5791387