Blogserie over software-gestuurde AVG-implementatiemethodiek

Blogserie over software-gestuurde AVG-implementatiemethodiek

Bent u zich ervan bewust dat in de 11 hoofdstukken en 99 artikelen van de AVG 57 verplichte privacyactiviteiten verborgen zitten?

Ze zitten er echt! Wat in de Verordening echter ontbreekt, zijn de instructies die duidelijk zouden maken wat voor activiteiten dat nu precies zijn en hoe ze het best kunnen worden aangepakt om tot AVG-accountability te komen. 

In de komende maanden lopen we met u door het vier-fasen AVG-implementatieproces waar wij zelf de afgelopen drie jaar ook mee hebben gewerkt. De kern van dit proces is dat het die privacyactiviteiten waar we het over hebben, integreert in een vaste managementcyclus.

In deze blogserie laten we u in detail kennismaken met dit implementatieproces. We leggen uit waarom wij de Plan-Do-Check-Act benadering die eraan ten grondslag ligt, zo belangrijk vinden en we delen met u de ervaring die wij in onze dagelijkse praktijk hebben opgedaan bij toepassing van deze procedure.

In het resterende gedeelte van deze blog gaan wij in op de noodzakelijkheid van een systematische, software-gestuurde en op rollen gebaseerde implementatiemethodiek.

Plan-Do-Check-Act

Een van vragen die ons sinds mei 2019 het meest zijn gesteld, is de volgende: 

“Hoe kan ik de AVG zodanig implementeren dat AVG-compliance een integraal onderdeel wordt van de bedrijfsprocessen van mijn organisatie?”

En wij begrijpen heel goed waarom die vraag zo vaak gesteld wordt. Het is een vraag die de kern raakt van de complete AVG-uitdaging – het vinden van een methode om AVG-compliance systematisch, structureel te integreren in een organisatie. En dat is echt een behoorlijke uitdaging, die tegelijkertijd in tal van AVG-projecten over het hoofd wordt gezien. Dat laatste is misschien nog niet eens zo’n grote verrassing. Elk project heeft een einddatum. Maar integratie van processen in de dagelijkse bedrijfspraktijk is een doorlopend traject, waarvoor in onze optiek een systematische, dat wil zeggen PDCA-gebaseerde implementatiemethodiek nodig is.

Implementatieproces

Begin 2017 gingen wij van start met de ontwikkeling van precies zo’n PDCA-gebaseerde implementatiemethode binnen een SaaS-model (Software as a Service). Deze benadering, die sindsdien ook rolgebaseerd is geworden, is in onze ervaring het meest geschikt om invulling te geven aan het proces van AVG-implementatie in al zijn complexiteit.

De rollen waar het om gaat, zijn: ‘Inspecteur’, ‘Beleidsmaker’, ‘Planner’ en ‘Controller’. In organisaties die nieuw zijn met de materie, dienen deze rollen in die vaste volgorde te worden ingevuld. In organisaties die al ‘AVG-compliant’ zijn, kunnen de rollen worden gebruikt voor audits en ter verbetering van de feitelijke status van AVG-compliance.

  • Inspecteur-fase

De Inspecteur heeft tot taak zich een eerste beeld te vormen van de organisatie, alvorens over te gaan tot het proces van AVG-integratie. Om dat te kunnen doen, moet de Inspecteur de organisatie goed in kaart hebben gebracht, in termen van wie is wie, wat zijn de wetten en voorschriften die van toepassing zijn, welke gegevensverwerkingen worden er uitgevoerd en wat zijn mogelijke gegevensbeschermingsrisico’s.

  • Beleidsmaker-fase

De belangrijkste taak van de Beleidsmaker is het opstellen van een intern beleid voor gegevensbescherming, bestaande uit een privacymissie en de bijbehorende gedragsregels. In combinatie vormen deze het collectieve ‘kompas’ dat nodig is voor ontwikkeling van de derde beleidscomponent: een voorlopige AVG-planning (PLAN), waaraan in de Planner-fase uitvoering wordt gegeven.

  • Planner-fase

Wat de Planner moet doen ligt voor de hand. Het opstellen van een gedetailleerde AVG-planning (PLAN), de uitvoering daarvan toewijzen aan leden van het privacyteam (DO), maar het leidinggevend management daarvan overlatend aan de Controller 

  • Controller-fase:

De taak van de Controller bestaat uit monitoring van (CHECK) en advisering in zaken die met implementatie te maken hebben (ACT) tijdens uitvoering van de AVG-planning. Die monitoring bestaat uit het bewaken van de tijdige, complete en correcte uitvoering van de toegewezen privacyactiviteiten.

In onze volgende blog bespreken we in nader detail hoe de rol van Inspecteur moet worden ingevuld. We gaan dan met name in op de manier waarop deze software en methodiek u helpen bij het identificeren en verzamelen van de informatie die nodig is om een online Register van verwerkingsactiviteiten aan te leggen.

Het redactieteam van The Privacy Factory

 

Sluit Menu