6 Tips om écht aantoonbaar grip te krijgen op de AVG

Grip krijgen op naleving van de AVG is geen juridisch maar een beheersingsvraagstuk. In de praktijk wordt de AVG vaak door functionarissen met een juridische achtergrond opgepakt. En vanuit die achtergrond wordt doorgaans met volle opgave gewerkt aan een (volledig) verwerkingsregister en het uitvoeren van DPIA’s, want dat staat nu eenmaal in de AVG. Wat niet in de AVG staat is hóe je dit moet organiseren en beheersen. Als daaraan niet wordt voldaan, is elke inspanning op dit vlak uiteindelijk zinloos. Wat heb je bijvoorbeeld aan een compleet verwerkingsregister waarin heel veel energie is gestoken als dat niet is ingebed in een deugdelijk beheersingsproces? En hoe zinvol is het eigenlijk om 30 of meer DPIA’s te hebben uitgevoerd om dan te constateren dat het vervolgtraject niet opgepakt wordt?

Door Gerrit Goud

“Geen tijd, geen capaciteit, geen betrokkenheid van de afdelingen en we zijn nog niet zover”, zijn veelal de tegenargumenten. En uiteindelijk loop je als privacyfunctionaris vast met een hoog frustratiegehalte en dat is jammer. Want het kan ook anders.

Een belangrijke boodschap: stap uit de inhoud en verdiep je in het beheersingsproces. Dat proces zorgt er voor dat de inhoud geborgd wordt. Niet meteen vandaag, maar wel vanuit een doorlopend jaarlijks verbeterproces waarmee constructief gebouwd wordt aan het borgen van de AVG. Geen los zand meer, maar cement om muren te bouwen in het tempo dat past bij de ambitie van de organisatie. En natuurlijk zijn er onderweg juridische vraagstukken waarop niet direct antwoord gegeven kan worden. Dat is voer voor juridische specialisten die zich verdiepen in wet- en regelgeving en jurisprudentie en zij mogen zich helemaal uitleven, maar wanneer het antwoord bekend is, dan is het weer business as usual. De rode draad blijft het beheersingsproces en grip houden op alle relevante beheeractiviteiten rond de AVG.

Het AVG landschap  is verdeeld in geclusterde beheeractiviteiten

Als we kijken naar die beheeractiviteiten in het AVG-landschap dan gaat het in essentie om slechts 8 clusters zoals hieronder weergegeven:

Het model geeft 3 lagen weer waarvan 2 gepositioneerd op de werkvloer, het beheerlandschap, en 1 laag vanuit een ‘helikopter’ die continu over het beheerlandschap vliegt. Doel van die ‘helikopter’ is om:

  • Zicht te behouden op het gehele AVG-landschap.
  • Prioriteiten te bepalen voor verbeteringen.
  • Tijdig in te ingrijpen als dat nodig is.
  • Informatie te verzamelen om op een gecontroleerde wijze verantwoording te kunnen afleggen (toetsen aan normen).

Van belang is dat noodzakelijke beheeractiviteiten van elk cluster belegd zijn in de organisatie en gewerkt wordt vanuit generiek naar specifiek. Natuurlijk is de neiging aanwezig om direct de ‘kelder’ in te duiken, want dat staat nu eenmaal in de AVG, maar dat heeft weinig zin als de verantwoordelijkheden en het beheer van het (6) verwerkingsregister, (8) DPIA’s en follow-up en de (7) privacycompliance op verwerkingsniveau niet geregeld zijn. Elke leidinggevende wil die verantwoordelijkheid heus wel dragen, maar niet lastiggevallen worden met extra taken. Ze hebben het al zo druk! Als dit een struikelblok is, dan is het raadzaam om die taken voorlopig centraal te houden, maar leidinggevenden wel te betrekken bij de resultaten zodat ze vertrouwd raken met dit verbeter- en bewustwordingsproces. Die aanpak biedt kansen om later alsnog beheertaken zo optimaal mogelijk te verdelen binnen de organisatie. Je moet eerst zaaien om later te kunnen oogsten.

Tips

Ter aanvulling op model heb ik een aantal tips die ik graag wil delen:

1.
Trap niet in de valkuil om direct beheertaken uit te voeren op verwerkingsniveau. Bezint eer gij begint. Beschrijf in eerste instantie de belangrijkste beheeractiviteiten rond zo’n cluster en implementeer deze kleinschalig. Zorg ervoor dat deze beheertaken belegd worden bij medewerkers die je direct kunt aanspreken. Wen aan dit proces en ga dan opschalen.

2.
Houd het beheer van het verwerkingsregister centraal om afbreukrisico te voorkomen en laat dit principe pas los wanneer de organisatie daarop is toegerust (volwassenheid).

3.
Volg voor het verwerkingsregister het IV3 model dat staat voor Informatie voor Derden. Dat model is verplicht voor de publieke sector om financiële informatie (denk aan begroting, jaarrekening, CBS) uit te wisselen. Ook is het model overzichtelijke ingedeeld en bevat alle gemeentelijke financieel gerelateerde taakvelden (lees geclusterde verwerkingen). Het IV3 model biedt houvast en structuur en dekt voor het grootste deel de lading (80/20-regel). IV3 is als het ware een wereldtaal in de publieke sector en bekend bij leidinggevenden, directie, bestuur en politiek. Daarmee heb je als privacyfunctionaris een betere aansluiting en herkenning onder de belanghebbenden als het gaat om verwerkingen. Je spreekt ze immers aan op hun eigen taakvelden.Het IV3 model biedt houvast om op een gestructureerde wijze te werken naar volledigheid (art 30 AVG lid 3). Om een idee te geven: dit model bevat zo’n 160 taakvelden verdeeld over 9 hoofdtaken. Interessant is dat een groot deel geen of nauwelijks persoonsgegevens bevat. Maar uiteraard zijn er verwerkingen die niet gerelateerd kunnen worden aan dit model. Geen probleem, behandel die in een afzonderlijk hoofdstuk (overig).

4.
Categoriseer elke verwerking in het verwerkingsregister naar een hoog, gemiddeld of laag privacyrisico. Doe dit in eerste termijn grofmazig. Finetunen komt later. Het voordeel is dat daarmee inzicht ontstaat in de omvang van verwerkingen die periodiek in aanmerking komen voor een DPIA. Deze verwerkingen kunnen vervolgens georganiseerd worden. Gemakshalve noem ik dit planmatig DPIA-onderhoud, nog even los van niet-planmatig DPIA-onderhoud waaronder de voorgenomen verwerkingen met een hoog privacyrisico vallen. Die laatste groep komt doorgaans ad hoc binnen en krijgt altijd prioriteit op het planmatig DPIA-onderhoud. Als de DPIA-aanpak ook gestandaardiseerd is (standaardformulieren), dan is het mogelijk een onderbouwde inschatting te maken over de benodigde tijdbesteding en dat kan weer worden afgestemd op de beschikbare capaciteit of aanleiding zijn tot een verzoek voor meer capaciteit.

5.
Ga na of een vorm van samenwerking in teamverband mogelijk is met de verbijzonderde interne controle (VIC) bij het planmatig uitvoeren van DPIA’s. Weliswaar is de VIC vooral gericht op de financiële rechtmatigheid, maar de scope van VIC wordt uitgebreid naar het operationele niet-financiële domein. Dat landschap is eveneens omgeven met reële risico’s die kunnen leiden tot een negatieve financiële impact. Niet voldoen aan DPIA’s is bijvoorbeeld zo’n risico. En laat de VIC nu meer ervaring hebben met de aanpak van een risicoanalyse en planmatig werken. Die inbreng van eigenschappen in combinatie met een objectieve en kritische blik kan in samenwerkingsverband waardevol zijn bij de uitvoering van DPIA’s. Bijkomend voordeel is dat met deze kruisbestuiving het beheerproces DPIA beter is geborgd en het is tegelijk een zorg minder voor de privacyfunctionaris.

6.
Richt je als privacyfunctionaris op het beheersingsproces door minimaal jaarlijks te meten waar de organisatie staat als het gaat om naleving AVG. Maak hiervoor gebruik van een toetsbaar normenkader AVG. Informeer alle belanghebbenden in het drielijnenmodel op basis van standaardrapportages zoals een jaarplan, voortgangsrapport en een evaluatierapport en houd deze cyclus vast.

Wat kan Key2Control betekenen?

Wij hebben voor u die ‘helikopter’ op ons beheersingsplatform beschikbaar. De helikopters ondersteunt jouw organisatie om grip te krijgen op het AVG-landschap met de mogelijkheid om gericht te sturen en alle belanghebbenden te betrekken bij dit beheersingsproces. Daar ligt de basis voor samenwerken en continu verbeteren.

Wij zijn ervan overtuigd, en de praktijk heeft dit bewezen, dat onze aanpak veel meer rust geeft in de organisatie, bijdraagt tot structuur en standaardisatie en daarmee de beheerorganisatie naar een hoger volwassenheidsniveau tilt. Er wordt vanuit een cyclisch beheersingsproces op een constructieve wijze samengewerkt aan verdere verbeteringen vanuit verschillende disciplines. Tegelijkertijd wordt een basis gelegd om aantoonbaar verantwoording te kunnen afleggen zoals bedoeld volgens Art 24 AVG.

Wil je meer weten over onze aanpak of sparren over dit onderwerp, neem gerust contact met ons op.. Wij zijn ervan overtuigd dat een persoonlijk gesprek altijd van toegevoegde waarde is