Compliance budget aanvragen bij de “AVG-moeie” manager
Ik denk persoonlijk van wel. Eenvoudiger zal het namelijk zeker niet gaan worden en de impact van komende aanvullingen in januari 2020 op de wetgeving voor de zorg en publieke sectoren zal gemanaged moeten worden.
Als u als IB of privacy professional budget wilt aanvragen bij uw manager dan krijgt u ongetwijfeld de volgende vragen;
• Waarvoor / waarom?
• Wat gaat dit opleveren?
• Wat is het verbeterplan en de waarde van het resultaat?
• Wat gaat dit kosten? Tijd, geld of moeite?
Het is erg lastig gebleken (voor velen) om een pragmatisch plan te ontwikkelen met meetbare doelstellingen. Dit is nu juist waarom wij de Privacy assessment en IB-assessment hebben ontwikkeld. Geen systematische één-op-één toetsing van praktijk aan een kader, maar een meting van de volwassenheid van uw eigen organisatie.
Hoe werkt dit?
Wij controleren de opzet, bestaan en werking van uw AVG-compliance project en bepalen een volwassenheidsniveau (1-5) per genomen maatregel. Dit geeft een helder inzicht in het algemene volwassenheidsniveau van de organisatie.
Aan de hand hiervan bepalen we samen het ambitieniveau van de organisatie én verkrijgen we input voor een jaarplan. Per maatregel zetten we uiteen hoe te komen tot het gewenste ambitieniveau. Pragmatisch en laagdrempelig.
Ook op het gebied van informatiebeveiliging is een format beschikbaar:
Ons advies aan eenieder is om een plan van aanpak te maken gebaseerd op feiten waardoor je kunt gaan toewerken naar een continu verbeterprogramma. Welke manager kan nu nee zeggen tegen een gevalideerd en uitgewerkt verbeterplan?
Dus wat leveren we op? Niet zomaar iets, maar een actieplan wat werkt en meetbaar is. Spreadsheets alleen gaan niet helpen, verbeteren doe je samen!
Rendement op uw AVG-investering!
In 2017 wisten we niet hoe snel men budget moest reserveren voor de implementatie van de AVG om op 25 mei 2018 “klaar” te zijn.
De investeringen zijn groot geweest, maar wat heeft het nu opgeleverd? Na 25 mei 2018 is geconstateerd dat vele managers een beetje AVG-MOE zijn en men niet echt weet waarom er in dit vraagstuk verder geïnvesteerd moet worden. Waarom zoveel tijd, geld en resources investeren terwijl er zo weinig rendement te behalen valt?
Op zich (deels) een valide standpunt.
Wat hier niet goed aan is? Ongetwijfeld zijn er ook in uw organisatie weer vele zaken veranderd het afgelopen jaar. Nieuwe werknemers, nieuwe systemen, nieuwe processen. Allemaal onderdeel van uw organisatie en stuk voor stuk onderdelen waarin (meestal) persoonsgegevens worden verwerkt.
Privacy compliance en informatie veilig werken is namelijk geen eenmalig ding maar hoort een vast en continu onderdeel te zijn van de strategie en organisatie doelstellingen.
Daarbij komt dat de ontwikkelingen binnen IT zo snel gaan, dat ze met het blote oog bijna niet meer te volgen zijn. Als u AVG-MOE bent, en het werk uit 2018 niet goed is onderhouden loopt u het risico dat u al het eerder uitgegeven geld dus weggegooid heeft.
Grijp daarom nu in!
Goed en gecontroleerd compliance management is een kans om de cultuur van de organisatie te professionaliseren en tevens een mogelijkheid om risico’s te kunnen herkennen en te mitigeren.
Goed en volwassen compliance management vraagt een kritische blik op processen en welke informatie hierin rondgaat. Door processen goed in te richten en te managen maakt u een optimalisatieslag. Bovendien vraagt informatie veilig werken een risicoanalyse om zo tot passende beveiligingsmaatregelen te komen. Combineer dan ook informatiebeveiliging met risicomanagement voor efficiënt compliance management.
Als de processen helder zijn, is het ook makkelijker om proceseigenaren te ondersteunen bij het naleven van de AVG. Beleg verantwoordelijkheden bij de juiste personen en geef de Privacy Officer de regie terug.
Zorg dat verplichte documentatie zoals het verwerkingsregister en datalekkenregister dynamische documenten worden die inzicht bieden in de organisatie en haal daar uw voordeel uit.
Compliance management is een kans!
Wij helpen u graag met een gedegen budget aanvraag met een pragmatisch plan met meetbare doelstellingen. Heeft u een andere mening, interesse in een open discussie? Mail gerust! koffie@audittrail.nl
Groeten, Ralph
Dit stuk van Ralph Drijver verscheen eerder op LinkedIn.