Audittrail: Voldoen aan AVG betekent continue verbetering van processen

Vrijdag 25 mei 2018 zal bij de meeste woningcorporaties rood omcirkeld staan in de agenda. Op die datum wordt de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Welke stappen moeten corporaties nemen om aan de privacywet te voldoen, en hoe borg je de aanpassingen binnen de organisatie? Een gesprek met Mitchel Kooyman, Business Consultant Informatiebeveiliging en Privacy bij Audittrail: “Wees je bewust dat de tijd begint te dringen.”

Mitchel Kooyman - Mavim - Audittrail - 2017

In de praktijk ziet Mitchel dat corporaties vaak nog verschillende stappen moeten zetten om aan de nieuwe wetgeving te voldoen. “Corporaties zijn zich bewust van de naderende startdatum en weten dat maatregelen nu getroffen moeten worden. Er is alleen nog vraag naar ‘hoe’ deze stappen genomen moeten worden. En daarbij is de AVG geen simpele of gemakkelijke wetgeving. Het is complexe materie waarbij specialistische kennis nodig is om het juist te implementeren in organisaties. Het kan dan ook niet in een aantal weken gebeuren: het implementeren heeft een tijdslijn van enkele maanden.”

 

Motivatie

Volgens Mitchel wil je als corporatie naar je huurders toe aan de regels voldoen. “Je wil hen beschermen tegen identiteitsfraude, en in het nieuws komen dat gegevens gelekt zijn kan grote imagoschade betekenen. Daarnaast wil je niet tegen een boete aanlopen: deze kunnen zo 20.000.000 euro of vier procent van de wereldwijze jaaromzet bedragen. Ook zien wij dat corporaties die nog gebruikmaken van papieren archieven de naderende wet aangrijpen om dit te digitaliseren. Op die manier heeft het een positieve invloed op de datakwaliteit.”

 

Nulmeting is de basis

Op de vraag wat het voldoen aan de AVG lastig maakt, zegt Mitchel: “De nieuwe wetgeving is een moderne vervanging van de Wbp, maar een stuk strakker ingeregeld. Zo wordt een privacybeleid verplicht, moet er een verwerkingenregister zijn en moeten procedures voor rechten van betrokkenen ingericht en bekend zijn.”

Een nulmeting is de basis om te voldoen aan de AVG. “Op die manier weet de corporatie waar het momenteel staat,” legt Mitchel uit. “Op basis daarvan kunnen vervolgstappen worden bepaald en in welke volgorde deze moeten worden uitgevoerd. Verder is het wenselijk voor elke organisatie een privacy officer aan te stellen en heeft men baat bij een ‘werkgroep privacy’. Zo’n werkgroep zorgt ervoor dat je met medewerkers van verschillende afdelingen kan sparren en dat verschillende onderdelen tegelijkertijd kunnen worden aangepakt, waardoor je sneller kunt voldoen aan de AVG.”

 

Borgen van privacy

“De meeste corporaties geven aan dat het traject naar AVG-gereedheid zo’n zes tot acht maanden in beslag neemt. De tijd dringt, zeker als je nagaat dat er nog veel moet gebeuren bij de meeste corporaties. En zelfs wanneer je als corporatie voldoet aan de wetgeving, ben je nog niet klaar met het traject. Om de privacywetgeving binnen de organisatie te borgen, is het belangrijk dat je het continu blijft verbeteren. Via een PDCA-traject (Plan, Do, Check en Act) kijk je steeds waar processen geoptimaliseerd kunnen worden.”

 

AVG-framework

Om corporaties te helpen AVG-compliant te zijn en te blijven, heeft Audittrail samen met Mavim een AVG-framework ontwikkeld. “Compliant zijn betekent niet alleen dat er zaken uit de AVG ingeregeld zijn, maar ook dat deze geborgd worden. Dit kan met het framework door het in de organisatie te verankeren en mee te nemen in de eerdergenoemde PDCA-cyclus. Een voorbeeld hiervan is het verwerkingenregister. Dit kan per proces of processtap ingevuld worden en er kan een rapportage over worden uitgedraaid. Wanneer stappen in het proces veranderen, kan dit worden doorgevoerd in het framework en in het register voor dat proces. Ook het privacybeleid kan worden opgenomen met een opsteldatum, een revisiedatum en een verantwoordelijke. Dit kan gepubliceerd worden in het Mavim-portaal,
waarbij elke medewerker het beleid kan zien en zijn of haar opmerkingen hierover kan geven.
Ook dit kan gebruikt worden om het beleid continu te verbeteren en privacy écht te borgen in de organisatie. Al met al een tooling waarmee inzichtelijk wordt wat het niveau is van de organisatie ten opzichte van de AVG en wat er nog gedaan moet worden.”

 

Voldoen aan AVG betekent continue verbetering van processen | Audittrail (2017)

 

“Daarbij helpen wij corporaties ook met het uitvoeren van de privacy-nulmeting. Dit valt onder de Quickstart Implementatie AVG. Het plan dat uit de nulmeting voortkomt bevat onze bevindingen en geeft een lijst met stappen om aan de wetgeving te voldoen. Dit geeft een corporatie een ‘to do-lijst’, waarmee het in de hoofdlijnen het traject naar compliancy kan aflopen.”

 

Onderdeel maken

Mitchel sluit af door te herhalen dat de tijd voor corporaties om te voldoen aan de AVG begint te dringen. “De klok tikt en de AVG is geen simpele wetgeving. Het is complex en kost tijd om in zijn geheel te implementeren. Afhankelijk van de inzet van medewerkers, de bereidheid voor verandering en de vrijgemaakte tijd kan de implementatie van de AVG enkele maanden duren. Begin met een nulmeting en krijg een goed overzicht van welke stappen je nog moet nemen. Neem daarna de tijd om de veranderingen te borgen, zodat je niet alleen voldoet aan de regelgeving maar privacy onderdeel maakt van je organisatie.”

 

Bron: Johan van den Beld | CorporatieMedia –  29 november 2017

 

Benieuwd welke stappen u nog moet nemen om te kunnen voldoen aan de AVG/GDPR? Wat de impact van deze vernieuwde wetgeving op uw organisatie is? Meld u dan aan voor het Webinar ‘In 5 stappen voldoen aan de AVG/GDPR’.

Up-to-date blijven? Meld u dan aan voor onze tweemaandelijkse nieuwsbrief

Plaats een reactie

− 3 = 3