Groeien naar een volwassen privacyorganisatie
De Algemene Verordening Gegevensbescherming (AVG) is bijna 1 jaar oud. Veel organisaties hebben afgelopen jaar hun best gedaan grip te krijgen op privacy met de AVG als belangrijk hulpmiddel. Het was een ‘bumpy road’! De focus op het beschermen van persoonsgegevens van klanten, cliënten, burgers en eigen medewerkers is goed geweest. De afgelopen jaren is privacy toch veelal onderbelicht gebleven. Huidige technologieën nopen juist tot hernieuwde aandacht. Tegelijkertijd hebben veel organisaties de AVG vrij geïsoleerd benaderd. Ik zie dat organisaties de AVG aanpakken als een project, terwijl de AVG geen project is. Het is een manier van werken die in de bedrijfsvoering moet zijn verankerd en onderdeel moet uitmaken van het dagelijkse werk van medewerkers. Dit blog bestaat uit twee delen. In het eerste deel heb ik het belang van een integrale aanpak van privacy én beveiliging benadrukt. Ook heb ik kort stilgestaan bij de verschillende fasen van volwassenheid. In dit tweede deel zal ik ingaan op de manier waarop organisaties vanuit de baby-fase kunnen groeien naar een volwassen organisatie die ‘in control’ is op gegevensbescherming.
Waarom zou je ‘in control’ willen zijn op gegevensbescherming?
In essentie zijn er twee redenen om ‘in control’ te willen zijn. De eerste reden; je wilt je als organisatie positief onderscheiden in de markt. Het beschermen van de gegevens van klanten, cliënten of burgers vormt een belangrijk bestaansrecht van de organisatie en vormt daarmee het kapitaal van de organisatie. Logische dat je jouw reputatie goed wilt beschermen, toch? Kortom, een intrinsieke motivatie. De tweede reden is meer extern gedreven. Je wilt voorkomen dat je boetes krijgt van de toezichthouder. De Autoriteit Persoonsgegevens heeft in haar Toezichtkader Autoriteit Persoonsgegevens 2018 – 2019 inzicht gegeven in de uitgangspunten van haar toezicht. Daaruit blijkt dat de toezichthouder het belangrijk vindt; ‘om de (mate van) naleving te controleren.’ En ook dat: ‘Bedrijven en overheden moeten aantonen dat zij in overeenstemming handelen met de AVG.’ Tegelijkertijd geeft de toezichthouder aan dat het op orde hebben van de verantwoordingsplichten niet per definitie wil zeggen dat een organisatie volledig voldoet aan de AVG. ‘Het is echter wel een goede indicatie van de mate waarin serieus werk is gemaakt van de implementatie van de AVG en dat is nagedacht over belangrijke onderdelen uit de AVG’, voegt zij daaraan toe. Voldoende reden om dus serieus werk te maken van gegevensbescherming.
Wat is jouw motivatie om aan gegevensbescherming te doen?
Natuurlijk heeft elke organisatie haar eigen motief om aan gegevensbescherming te doen. Bij een zorginstelling of een gemeente zou de motivatie hiervoor wellicht haar basis vinden in het integriteitsbewustzijn, het belang van de burger c.q. de cliënt staat centraal. Bij een financiële instelling kan het gaan om het beschermen van de reputatie en bij een MKB-organisatie is vooral het voorkomen van financiële schade (in de vorm van boetes van de Autoriteit Persoonsgegevens) de drijfveer.
Welke reden ook ten grondslag ligt aan de keuze om gegevensbescherming serieus te nemen, de borging hiervan gaat in principe op dezelfde manier. In al deze gevallen moet de organisatie een Plan-Do-Check-Act-cyclus inrichten om de privacy- en beveiligingsrisico’s te beheersen en de naleving van de verschillende standaarden aan te tonen. Wil je écht ‘in control’ zijn dan zal het privacy- en beveiligingsbeleid tot het op het laagste niveau correct geïnterpreteerd en uitgevoerd moeten worden en zul je de systematische procesverbetering op basis van metingen onderdeel moeten laten zijn van de bedrijfsvoering. Dat is immers het volwassenheidsniveau dat minimaal nodig is om een comfortabel gevoel te hebben.
Gegevensbescherming #HoeDan?
Hoe kom je dan op een hoger volwassenheidsniveau als organisatie? Welke stappen moet je hiervoor zetten? Het flauwe antwoord is dat hiervoor geen ‘one size fits all’ aanpak bestaat. Zeker niet in de huidige situatie waarin de AVG nog deels aan het landen is binnen organisaties en beveiligingsstandaarden aankomende jaren nogal aan verandering onderhevig zijn. In het algemeen gelden wel de volgende 3 stappen om te zorgen voor groei:
STAP 1: Bepaal de ambitie
Bepaal welke volwassenheidsniveau de organisatie nastreeft per geldende standaard. Dus geef antwoord op vragen zoals; Wil de organisatie 100% compliant zijn op de AVG of is een risico gebaseerde/pragmatische benadering wenselijk? Welke beveiligingsstandaarden eisen stakeholders van de organisatie en welk niveau wordt van de organisatie verwacht? Welke risico’s op het gebied van privacy en beveiliging zijn wij bereid te accepteren in relatie tot onze organisatiestrategie en doelstellingen.
STAP 2: Bepaal de huidige situatie
Breng in beeld waar de organisatie op dit moment staat ten opzichte van de AVG en de bestaande beveiligingstandaarden. Duik in een normenkader en stel vast waar je staat, wat je hebt gedaan om aan bepaalde normen of wetgeving te voldoen. Je kunt hierbij aanhaken bij termen als ‘opzet’, ‘bestaan’ en ‘werking’ maar er zijn ook andere volwassenheidsmodellen zoals het Capability Maturity Model, waar in deel 1 aandacht aan is besteed. Welke je ook gebruikt, breng zo specifiek mogelijk de huidige situatie in kaart. Dit kan ook bereikt worden door het (laten) uitvoeren van bijvoorbeeld een AVG-maturity scan of een informatiebeveiligingsscan.
STAP 3: Stel concrete werkpakketten op
Op basis van het gewenste volwassenheidsniveau en het inzicht in de huidige situatie ten opzichte van de normenkaders wordt het mogelijk om een richting te kiezen en concrete activiteiten te benoemen. Deze activiteiten hebben tot doel het gewenste volwassenheidsniveau te bereiken. Maak hiervan praktische werkpakketten. Dit is niet meer of minder dan de actie beschrijven, wie de actie gaat uitvoeren, wanneer de actie moet zijn uitgevoerd en wat het resultaat van de actie moet zijn.
Tot slot de belangrijkste stap: Ga aan de slag! Komende maanden gaan wij u op de hoogte houden van de AVG en informatiebeveiligingsontwikkelingen en zullen wij relevante blogs publiceren rondom de diverse nieuwe standaarden zodat u altijd up-to-date bent.