obey-robots.txt
25 Februari 2018, 02:55
Navigatie
Steun ons
Inloggen / Registreren
Gebruikersnaam

Wachtwoord


Nog geen lid?
Als geregistreerd lid kunt u reageren en alle extra functies gebruiken.
Kabel Gebruikers Groep
Wachtwoord vergeten?
Verzoek nieuw wachtwoord.
Waarom de AVG Privacy wetgeving vooral een procesmatige uitdaging is
image  4 minuten

In onze eerdere blogs en whitepaper gingen we al uitvoerig in op de uitdagingen voor organisaties bij ingang van  de nieuwe privacy-wetgeving (AVG of GDPR in het Engels). Deze uitdagingen hebben betrekking op het inrichten, monitoren en besturen van datastromen zowel binnen als buiten de organisatie. Dit betekent dat er inzicht nodig is in verantwoordelijkheden, het gebruik en delen van data. Het lijkt vaak een technisch vraagstuk, maar vergis je niet: ook de processen moeten opnieuw ingericht worden.

Garant staan voor privacy vraagt om duidelijke processen

Duidelijke processen zijn essentieel voor organisaties om de klant goed te bedienen, hetzelfde geldt voor de privacy van de klant. Dit moet in de keten ingericht zijn, want net als bij een klantreis gaat de klantdata ook door de gehele organisatie. Als je niet weet wie welke klantdata gebruikt, weet je ook niet waar potentiële risico´s liggen. Je moet inzicht hebben in de datastromen, want hoe kun je anders de klant privacy garanderen en voldoen aan de AVG? Hiervoor moeten de processen, gebruikers en bijbehorende rechten duidelijk in kaart zijn. Heb je dit niet inzichtelijk dan kan in elke stap van het proces een datalek zitten, zonder dat je dit door hebt.

Onderstaande afbeelding toont een voorbeeld van de stroming van data binnen een organisatie. Al deze afdelingen kunnen klantdata inzien en bewerken, dit gaat verder dan alleen de uitvoerende afdeling of partijen die direct klantcontact hebben! Deze datastromen moeten dus door de volledige klantreis bekeken en gestuurd worden. We noemen dit ook wel Privacy Management: het managen van interne en externe (klant) datastromen om privacy te borgen. De Functionaris Gegevensbescherming (FG) heeft hierin een vergelijkbare rol als de Customer Journey Manager: over de gehele keten de processen in kaart brengen en managen.

Waarom de AVG Privacy wetgeving vooral een procesmatige uitdaging is

Figuur 1: Privacy Management (AVG)

Processen behoeven monitoring

Elke procesexpert zal je vertellen: `Een standaard waarbij niet over borging is nagedacht is een dode letter´. Processen vragen om naleving en borging, wat vraagt om boekhouding en monitoring. Dit betekent dat er jaarlijks gekeken moet worden naar wélke data door jouw organisatie stroomt, inclusief een kundige boekhouder die het audit en goedkeurt. Net zoals geld stroomt ook data door jouw organisatie én moet het dus gerapporteerd worden.

De volgende elementen zijn belangrijk voor het goed kunnen borgen van data en privacy:

  1. Datastromen: door welke processen stroomt de data? Waar wordt de data gebruikt en/of bewerkt?
  2. Verantwoordelijkheden: is het duidelijk wie welke data mag behandelen en waarom?
  3. Monitoring: is het inzichtelijk wanneer data gedeeld of gemanipuleerd wordt?
  4. Boekhouding: wordt er regelmatig een audit gedaan naar de data, archivering en beveiliging?
  5. Gebruikers: zijn collega´s bewust van hoe ze veilig omgaan met data?

Datagebruik en de risico op privacy is veelomvattend voor de organisatie. De ene dag wordt data gebruikt voor alleen één onderdeel, de week erna kan het gebruikt worden door verschillende afdelingen. Het is belangrijk om hier flexibel mee om te gaan en het multidisciplinair op te pakken. Een toelichting lees je hieronder.

Privacy processen inrichten, hoe pak je dit aan?

Privacy processen inrichten vraagt om een nieuwe inrichting van de organisatie met nieuwe rollen. Waar begin je?

1.      Maak een multidisciplinair team dat als primair doel heeft de privacy en datastromen te monitoren.
Creëer een team vanuit de belangrijkste stakeholders (bijvoorbeeld HR, ICT, Processen en de lijnsturing), zodat je privacyrisico´s organisatiebreed in kaart brengt. Het team moet:

  • Een duidelijk mandaat hebben en vrijheid krijgen om incidenten op te pakken;
  • flexibel zijn, elk proces heeft zijn eigen dynamiek en stakeholders;
  • verantwoordelijk zijn voor de data-boekhouding, waarbij ze ook rekening houden met bewaartermijnen van data en de borging ervan.

Bij audits, risico-meldingen en datalekken wordt dit team (samen met de Functionaris Gegevensbescherming) het centrale aanspreekpunt.

2.      Inventariseer de meeste kritieke data en voer hier PIA´s voor uit.

Bekijk binnen je organisatie welke data het meest risicovol is door een Privacy Impact Analyse (PIA) te doen. Zijn er veel processen en is het moeilijk te zien waar te beginnen? Om te bepalen welke PIA´s het meest kritiek zijn helpt het om met eenvoudige risicoanalyses te beginnen:

Privacy risico = datalek kans x de impact

De kans op een datalek is afhankelijk van de kanalen en de (hoeveelheid) medewerkers met toegang. De impact is afhankelijk van het type data en het type klanten. Gezamenlijk geeft dit een ruwe schatting van welke PIA´s prioriteit moeten krijgen. PIA´s zijn naast de ingerichte processen ook cruciaal bij audits, dus zorg dat deze klaar liggen om boetes te voorkomen.

3.      Organiseer gezamenlijke informatiesessies en trainingen.

Wat als er zich een incident voordoet met data? De nieuwe wetgeving op data en privacy vraagt niet alleen om het verbeteren van bestaande processen, het vraagt ook om nieuwe processen. Zoals het proces `melden datalek´ en het proces `voldoen aan reactietijden´. Normen zoals ISO 27001 en de straks verplichte audits eisen dat dit goed ingericht is. Er staan grote boetes op het niet tijdig melden van deze lekken, maak het proces dus helder!

De nieuwe AVG-privacywetgeving is daardoor niet alleen een taak voor het multidisciplinaire privacy-team, ook andere medewerkers binnen de organisatie dragen verantwoordelijkheid. Zij moeten zich bewust zijn van hun rol, mogelijke gevolgen én het privacyteam kunnen bereiken bij incidenten en verbetervoorstellen. Neem ruim vóór vrijdag 25 mei 2018 de tijd om hen hierin te begeleiden en de achterliggende processen voor hen in te richten.

Follow the money

De privacywet wordt vooral gezien als een ICT-aangelegenheid, de beveiliging van data krijgt de focus. De gevolgen op de organisatie en processen wordt vaak vergeten. Data stroomt net als geldstromen door jouw organisatie, dit vraagt goed inzicht in mogelijke risico´s. Het volgt het "follow the money" principe: traceer waar data heen gaat en analyseer deze stromingen. Zorg ervoor dat de verantwoordelijkheden duidelijk zijn, krijg inzicht in de meest kritieke data en neem de organisatie mee in de verandering. Deze stappen moeten allemaal ingericht worden, zodat bij de implementatie van de AVG alle processen en procedures duidelijk zijn binnen de organisatie.

Je zult eerst het inzicht nodig hebben, voordat je er bewust op kunt sturen. Hier ligt een grote uitdaging voor organisaties, zowel voor 25 mei als na de ingang van de nieuwe wetgeving. Begin vandaag nog met het in kaart brengen van welke processen je nog mist!

Lees ook het whitepaper Data & Privacy

Masterclass Continuous Performance Improvement maart 2018




Bron: NLkabel
Reacties
Er zijn nog geen reacties geplaatst.
Reactie plaatsen
Logt u a.u.b. in om een reactie te plaatsen.
Waardering
Waardering is alleen beschikbaar voor leden.

Logt u a.u.b. in om te stemmen.of registreer om te stemmen.

Er zijn nog geen waarderingen gegeven.
Goedenacht bezoeker
Inloggen / Registreren
Gebruikersnaam

Wachtwoord



Nog geen lid?
Als geregistreerd lid kunt u reageren en alle extra functies gebruiken.

Wachtwoord vergeten?
Verzoek nieuw wachtwoord.
Shoutbox
U moet ingelogd zijn om een bericht te plaatsen.

Er zijn geen berichten gepost.