Privacy by Running Around

Privacy by Running Around

De manier waarop onze klanten de borging, aantoonbaarheid en verantwoording met betrekking tot de AVG managen varieert behoorlijk. Wordt bij de ene klant de koers bepaald door het privacybeleid, documenten, checklists en convenanten, bij een andere klant zit gegevensverwerking (privacyrisico’s en beheersmaatregelen) ingebakken in de Informatiebeveiliging en de ISO/NEN normeringen. Beide benaderingen zijn logisch, legitiem en werkbaar. Wordt het rennen, of kan het anders? Het is aan u.

 

Proces en procedure

Ik moet denken aan een praktijksituatie waar een klant me onlangs over vertelde. Deze klant had een ex-medewerker die min of meer onverwacht vroeg om verwijdering van zijn persoonsgegevens. Hoe eenvoudig het verzoek ook was, het creëerde lichte paniek op de werkvloer om dit verzoek op te volgen. De data was beschikbaar en benaderbaar. Maar het koste uiteindelijk veel tijd en moeite om de klus te klaren.

Niet voor niets schrijf ik het woord onverwacht cursief, want ik vroeg me af of deze klant zijn procedures ten aanzien van het wie, wat, hoe, waar en waarom vanuit het AVG-gedachtegoed op orde had. Dat we hier later een goed gesprek over hebben gehad laat zich raden. 

 

1-2-3

First things first. Eerst organiseren. Daarom geef ik, vanuit strategisch, tactisch en operationeel oogpunt, deze overweging.

  1. Zorg dat de business als eerste lijn verantwoordelijk wordt gemaakt voor het rechtmatig en behoorlijk verwerken van persoonsgegevens.

  2. De eerste lijn is samen met de tweede lijn (privacy juristen, CISO, Legal, etc. ) verantwoordelijk voor het opstellen van het interne privacy beleid en de hieruit voortvloeiende richtlijnen en procedures.

  3. Tot slot is er een duidelijke rol voor de FG in de derde lijn. De FG houdt het toezicht op naleving, kijkt samen met de tweede lijn naar verbeteringen en rapporteert gevraagd en ongevraagd aan het bestuur en de stakeholders.

 

Three Lines of Defense

De overweging komt voort - u had het misschien al herkend - uit het principe van de Three Lines of Defense. Daarmee legt u de puzzelstukjes van het AVG Management op zijn plaats en worden de AVG Taken, Verantwoordelijkheden en Bevoegdheden gealloceerd. Anders gezegd, het is een hulpmiddel om procedures vast te leggen bij medewerkers die beschikken over de juiste competenties en vaardigheden. Oké, is daarmee de kous af en zijn we nu AVG Proof, of Compliant zoals u wenst? Moeten we dan nu ook nog gaan nadenken over automatisering?

 

PIMS als Informatielaag

Erover nadenken wil ik van harte adviseren. Immers, als je alle AVG acties, DPIA’s, risico’s, verwerkingsactiviteiten, verwerkersovereenkomsten, verzoeken, changes en maatregelen slim wilt managen, monitoren, opvolgen en rapporteren, wordt een softwaretool bijzonder wenselijk. Deze wens wordt alleen maar groter als organisaties vanuit de multi-tennant gedachte en de High Level Structure over meerdere bedrijfsonderdelen het inzicht en het overzicht willen bewaren. Ik heb meegemaakt dat de Functionaris Gegevensbescherming van een grote organisatie met zekere regelmaat door het gebouw rende om zijn AVG team te informeren, te corrigeren en te stimuleren. 

Privacy by Running Around? Nee, dank u wel. 

PIMS is een AVG Managementsysteem om aantoonbaar in control te zijn van de AVG Wet- en Regelgeving. Bovendien zorgt de dynamiek van PIMS voor een meer gestructureerde en planmatig onderhouds- en verbetercyclus. PIMS wordt ingezet als stand-alone oplossing maar het wordt ook als kritieke AVG informatielaag aan het ISMS verbonden om het integrale beheer van Normen, Controls en AVG te borgen. Die softwaretool ligt voor elke type organisatie binnen handbereik: maak kennis met PIMS, het Privacy Information Management Systeem van Simac.

 


Alexander Brok
Alexander Brok

Accountmanager Simac Triangle, vestiging Eindhoven.

Advies aanvragen

Wil je meer weten over PIMS en de opzet van een AVG beheersysteem?

Bel me of klik op de groene button hieronder.

Advies aanvragen