Aantoonbaar in control, hoe doe je dat?

Als jouw organisatie persoonsgegevens verwerkt, moet je je houden aan de AVG. Dit houdt ook in dat je aantoonbaar zult moeten maken dat je voldoet aan alle van toepassing zijnde verplichtingen.

Dit is een groot onderscheid ten opzichte van de oude Wet bescherming persoonsgegevens.

Deze verplichting staat omschreven in artikel 5 lid 2 van de AVG: ‘De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (“verantwoordingsplicht”).

Veel bedrijven en instellingen zijn op dit moment nog bezig met de implementatie van de verplichtingen uit de AVG. Vaak zelf, of met ondersteuning van een dienstverlener. Wat vaak wordt vergeten is om na deze implementatie overzicht en inzicht te krijgen in alle verplichtingen, hoe je deze in de toekomst bijhoudt en aanpast en wie voor welk onderdeel precies verantwoordelijk is.

Vaak lukt het wel om projectmatig de verplichtingen van de AVG te implementeren, maar hoe voorkom je dat dit een eenmalige exercitie wordt? Je moet zien te voorkomen dat je twee jaar later weer opnieuw kunt beginnen.

De mensen achter PrivacyTeam hebben hiervoor een oplossing bedacht. Zij hebben allemaal jarenlange ervaring met de implementatie van de wet- en regelgeving binnen grote en complexe organisaties. Binnen bijvoorbeeld banken en verzekeraars is het al langer verplicht aantoonbaar te maken dat je voldoet aan alle wet- en regelgeving. Dat kan met behulp van een ‘control framework’. De mensen achter PrivacyTeam hebben zelf jarenlange ervaring met het bedenken van oplossingen om deze ‘aantoonbaarheid’ op een eenvoudige en praktische manier vorm te geven.

Dát stond hun ook voor ogen bij het ontwikkelen van EasyPrivacy®.

EasyPrivacy® is een eenvoudig en praktisch vormgegeven control framework, dat heel intuïtief werkt.

Een control framework is een gestructureerd overzicht waarmee je zelf overzicht en inzicht kan krijgen in de verplichtingen. Door de juiste maatregelen te nemen en deze te koppelen aan de verplichting, kun je aantoonbaar maken dat je voldoet aan de norm.

Door vervolgens een periodieke controle uit te voeren en steeds via een ‘Plan, do, check, act’ (PDCA) cyclus kijken of je nog ‘in control’ bent, kun je aantoonbaar maken dat je voldoet aan de verplichtingen van de AVG, zoals die voor jou bedrijf of instelling gelden.

Is dat lastig en tijdrovend?

Neen, het is juist gemakkelijk om dat te doen met behulp van EasyPrivacy® van PrivacyTeam.

Je moet je voorstellen dat de AVG is vertaald naar een aantal begrijpelijke normen. Om aan deze normen te voldoen, moet je bepaalde beheersmaatregelen treffen.

Je denkt nu waarschijnlijk: Hoe werkt dat dan?

Dit kan toegelicht worden met een voorbeeld.

Stel: je verstuurt als organisatie veel vertrouwelijke documenten en informatie per e-mail. Deze vertrouwelijke persoonsgegevens mag je niet per gewone e-mail sturen. Want: je weet niet zeker of de gegevens wel bij de juiste persoon terecht komen én je weet niet of een bericht wordt onderschept. Dus: je moet een maatregel bedenken om dit op een veilige en AVG-proof manier te doen. De oplossing is natuurlijk dat je de praktische oplossing van Zivver gebruikt.

In EasyPrivacy® is een norm opgenomen.

Norm3

In EasyPrivacy® staan bij deze norm meerdere beheersmaatregelen opgenomen. Eén hiervan is ‘beveiligde uitwisseling’ van persoonsgegevens. Zie hieronder.

BM2

In EasyPrivacy® staat tevens het verwachte bewijs om aan deze beheersmaatregel te voldoen.

Vervolgens gaat degene die verantwoordelijk is gemaakt voor dit probleem een oplossing vinden. Deze oplossingen staan ook in EasyPrivacy®.

De gekozen oplossing wordt als volgt in EasyPrivacy® opgenomen.

In dit geval heeft de organisatie gekozen voor de oplossing om Zivver in te zetten om op een veilige manier gegevens per e-mail uit te wisselen.

Deze oplossing vindt de gebruiker ook terug in EasyPrivacy®.

Als de gebruiker deze stappen invult, dan kleurt deze maatregel ‘groen’ in het dashboard.

Dashboard2

Het makkelijke aan EasyPrivacy® is dat elke beheersmaatregel is gekoppeld aan een verantwoordelijke binnen de organisatie en dat deze verantwoordelijke peridoek gevraagd wordt om aan te geven of de beheersmaatregel nog toereikend is om aan de norm te voldoen.

Op deze wijze kun je als organisatie op een gemakkelijke manier aantoonbaar maken dat je (blijvend) voldoet aan de verplichtingen van de AVG.

Interesse? Neem contact op met de mensen van PrivacyTeam. EasyPrivacy® is al verkrijgbaar vanaf € 349,-.

Naar het overzicht