Inmiddels is de AVG al enige tijd van kracht. Iedereen is er druk mee bezig geweest de afgelopen maanden. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving en sterker nog: ze doet dit steeds strikter en af en toe stellen ze een voorbeeld. Zelf dient u uiteraard ook toezicht te houden op de naleving van de AVG. Maar hoe doet u dit? Hoe krijgt u hier vat op? Wellicht heeft u hiervoor het 10 stappenplan gevolgd van de AP. Dit betekent echter nog niet dat u voldoet aan de AVG. Hoe weet u nou waar u risico’s loopt op non-compliance, schadeclaims en imago- en reputatieschade?
Stop met al die gefragmenteerde registraties
Een aantal overzichten en documenten die organisaties veel inzetten voor AVG-compliance zijn bijvoorbeeld: het register, de verwerkersovereenkomsten en beleidsstukken.
U zoekt bijvoorbeeld eerst in het register op bij welke verwerkingen u mogelijk risico’s loopt. Vervolgens bekijkt u welke applicaties u hierbij gebruikt, welke gegevens u hierin verwerkt, toegang hiertoe, en hierna kijken of het SaaS oplossingen zijn en of er sprake is van een verwerker en u hiervoor een verwerkersovereenkomst hebt afgesloten. Kortom: een veelvoud aan gefragmenteerde acties, maatregelen en registraties.
Vaak zien we dat organisaties al deze informatie in één master Excel of tool proberen te groeperen. Helaas is dit suboptimaal. Immers, u kunt hier niet goed een status of voortgang van maatregelen in één overzicht tonen en delen met alle stakeholders. Ook kunt u niet alle benodigde dwarsdoorsnedes maken die u nodig hebt om te kunnen sturen (op bijvoorbeeld verwerkingen, type persoonsgegevens, applicaties, derden, afdelingen, processen). Organisaties denken dus in control te zijn op AVG maatregelen, maar zijn tegelijkertijd niet goed in staat om KPI’s toe te kennen die echte sturing op AVG maatregelen mogelijk maakt.
Gebruik architectuur als Haarlemmerolie
In control komen op AVG zou toch eenvoudig moeten zijn met alle beschikbare technologieën en kennis van tegenwoordig? Wij denken van wel: u kunt dit doen door alle relevante AVG informatie onder te brengen in uw architectuur.
Architectuur is namelijk de verbindende factor tussen mensen, processen, applicaties, data (waar onder persoonsgegevens) en infrastructuur. Door samen te werken met een architect krijgt de ‘privacy-functionaris’ een zeer goed beeld van de samenhang hiervan en kan specifiek worden ingezoomd op persoonsgegevens. Door de architectuur goed te vullen en te ontsluiten met standaard BI / reporting tooling kunnen krachtige AVG-risico dashboards gegenereerd worden.
Deze AVG risico dashboards stellen de privacy-functionaris in staat om eenvoudig risico’s te prioriteren en de voortgang van verbetermaatregelen structureel te monitoren. Ook managers en bestuurders krijgen inzicht in de stand van zaken en kunnen sturing gaan uitoefenen. Zo wordt privacy iets voor de hele organisatie. Privacy is immers een gezamenlijke verantwoordelijkheid. Een dergelijk AVG risico dashboard kan organisaties helpen om de sturing en control op AVG maatregelen veel krachtiger te maken. Zowel de bestuurder, de architect in het CIO-office en de privacy functionaris kunnen hiermee een duidelijke win-win-win creëren.
Wilt u meer over weten over ons AVG risico dashboard en andere praktische oplossingen om vat te krijgen op de AVG met behulp van architectuur? Neem dan gerust contact met ons op.