Inspecteur: gedocumenteerd beeld van AVG-context bij de klant

Inspecteur: gedocumenteerd beeld van AVG-context bij de klant

In deze blog bespreken we het eerste stadium van de Inspecteursfase in ons AVG-implementatieproces. Het gaat er in dit eerste stadium op de eerste plaats om een indruk te krijgen van hoe het er, in AVG-opzicht, voor staat bij de organisatie in kwestie. We gaan in nader detail in op het ‘vooronderzoek’, de identificatie van relevante wetgeving en voorschriften op het gebied van gegevensbescherming en, nog belangrijker, de identificatie van verwerkingen van persoonsgegevens.

Vooronderzoek
Een van de meest waardevolle lessen die wij in ons werk met honderden klanten hebben geleerd, is dat het voor de Inspecteur absoluut noodzakelijk is een zekere afstand tot de klant te bewaren, om op die manier de relatie puur professioneel te houden.
Om zich een eerste beeld van de klant te vormen en tegelijkertijd die essentiële afstand te bewaren, doet een Data Protection Officer of Privacy Officer er altijd goed aan in eerste instantie publiekelijk toegankelijke bronnen van informatie te raadplegen om een onafhankelijk referentiekader op te bouwen, dat vervolgens, in gesprekken met de houder van de privacyportefeuille en andere belanghebbenden binnen de organisatie van de klant, weerlegd dan wel bevestigd kan worden. De vragen die in die gesprekken moeten worden beantwoord, zijn onder meer:
 
  • Wat voor aanvullende informatie is nodig om het referentiekader te voltooien en wie kan in die informatie voorzien?
  • Begrijpt de houder van de privacyportefeuille wat het inhoudt om AVG-accountability te bereiken? Begrijpen de andere belanghebbenden dat ook?
  • Wie is de hoogste leidinggevende c.q. wat is het hoogst niveau van management waaraan, conform artikel 38 lid 3 van de AVG, moet worden gerapporteerd?
Beantwoording van één of meer van deze vragen leidt tot beter begrip van het type klant waarmee u te maken heeft.

Wetten en voorschriften
Volgende punt op de agenda behelst identificatie van relevante wetten en voorschriften op het gebied van gegevensbescherming (EU- en nationale wetgeving) om de omvang van de juridische verplichtingen van de klant vast te stellen. Een snelle zoekopdracht in de Nederlandse jurisdictie levert bijna 1000 treffers op (wetten, voorschriften, verdragen, etc.) met betrekking tot ‘persoonsgegevens’. Het is dan ook aan te raden om bij de desbetreffende brancheorganisatie aan te kloppen of de juridisch adviseur van uw klant om hulp te vragen.  

Register van verwerkingen
Het laatste thema dat we in deze blog aansnijden is inventarisatie van de belangrijkste vormen van persoonsgegevensverwerking die binnen de organisatie plaatsvinden, resulterend in een eerste overzicht van verwerkingen, de eerste stap op weg naar een Register van verwerkingen. 
Voor beide thema’s geldt dat periodiek heronderzoek noodzakelijk is, wat tegelijkertijd verklaart waarom in de Inspecteursfase kan worden volstaan met het verkrijgen van voorlopig inzicht.  Wat de identificatie van andere EU- en nationale wetgeving betreft, die opgave is relatief eenvoudig te uit te voeren aangezien de meeste, zo niet alle EU-lidstaten openbare databases onderhouden waarin de betreffende wetten en voorschriften zijn opgenomen. Dat soort hulpmiddelen ontbreekt uiteraard bij deze tweede, per definitie organisatiespecifieke opgave, die dan ook een stuk lastiger is uit te voeren. Reden waarom wij, juist met het oog op vereenvoudiging van die opgave, een drie-stappen model hebben ontwikkeld voor de identificatie van verwerkingen. 

Driestappenmodel
In onze ervaring hebben maar weinig organisaties volledig zicht op hun bedrijfsprocessen. Maar de meeste organisaties weten wel precies wat voor applicaties ze gebruiken. Het driestappenmodel begint dan ook met identificatie, per afdeling, van de gebruikte applicaties. Welke applicaties worden in welke afdeling gebruikt en waarvoor worden ze in die afdeling gebruikt? In de volgende stap zetten we dat gebruik om tot een meer abstracte typering. In de derde stap condenseren we die algemene typeringen tot concrete vormen van gegevensverwerking. We gaan bijvoorbeeld uit van abstracte omschrijvingen als ‘verificatie van binnengekomen facturen’ en ‘betaling van uitstaande facturen’ en komen uit bij de verwerking ‘Crediteurenbeheer’. 

In onze volgende blog bespreken we in nader detail hoe de Inspecteur zich een eerste beeld vormt van de risico’s waaraan de organisatie van uw klant is blootgesteld in relatie tot de AVG. We gaan dan met name in op het gebruik en het nut van een enquête bij de identificatie van deze potentiële risico’s.

Het redactieteam van The Privacy Factory
Sluit Menu
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.