algemene verordening gegevensbescherming

Inhoud Vrijdag 25 mei 2018 zal bij de meeste woningcorporaties rood omcirkeld staan in de agenda. Op die datum wordt de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Welke stappen moeten corporaties nemen om aan de privacywet te voldoen, en hoe borg je de aanpassingen binnen de organisatie? Een gesprek met Mitchel Kooyman, Business Consultant Informatiebeveiliging en Privacy bij Audittrail: “Wees je bewust dat de tijd begint te dringen.” In de praktijk ziet Mitchel dat corporaties vaak nog verschillende stappen moeten zetten om aan de nieuwe wetgeving te voldoen. “Corporaties zijn zich bewust van de naderende startdatum en weten dat maatregelen nu getroffen moeten worden. Er is alleen nog vraag naar ‘hoe’ deze stappen genomen moeten worden. En daarbij is de AVG geen simpele of gemakkelijke wetgeving. Het is complexe materie waarbij specialistische kennis nodig is om het juist te implementeren in organisaties. Het kan dan ook niet in een aantal weken gebeuren: het implementeren heeft een tijdslijn van enkele maanden.”   Motivatie Volgens Mitchel wil je als corporatie naar je huurders toe aan de regels voldoen. “Je wil hen beschermen tegen identiteitsfraude, en in het nieuws komen dat gegevens gelekt zijn kan grote imagoschade betekenen. Daarnaast wil je niet tegen een boete aanlopen: deze kunnen zo 20.000.000 euro of vier procent van de wereldwijze jaaromzet bedragen. Ook zien wij dat corporaties die nog gebruikmaken van papieren archieven de naderende wet aangrijpen om dit te digitaliseren. Op die manier heeft het een positieve invloed op de datakwaliteit.”   Nulmeting is de basis Op de vraag wat het voldoen aan de AVG lastig maakt, zegt Mitchel: “De nieuwe wetgeving is een moderne vervanging van de Wbp, maar een stuk strakker ingeregeld. Zo wordt een privacybeleid verplicht, moet er een verwerkingenregister zijn en moeten procedures voor rechten van betrokkenen ingericht en bekend zijn.” Een nulmeting is de basis om te voldoen aan de AVG. “Op die manier weet de corporatie waar het momenteel staat,” legt Mitchel uit. “Op basis daarvan kunnen vervolgstappen worden bepaald en in welke volgorde deze moeten worden uitgevoerd. Verder is het wenselijk voor elke organisatie een privacy officer aan te stellen en heeft men baat bij een ‘werkgroep privacy’. Zo’n werkgroep zorgt ervoor dat je met medewerkers van verschillende afdelingen kan sparren en dat verschillende onderdelen tegelijkertijd kunnen worden aangepakt, waardoor je sneller kunt voldoen aan de AVG.”    Borgen van privacy “De meeste corporaties geven aan dat het traject naar AVG-gereedheid zo’n zes tot acht maanden in beslag neemt. De tijd dringt, zeker als je nagaat dat er nog veel moet gebeuren bij de meeste corporaties. En zelfs wanneer je als corporatie voldoet aan de wetgeving, ben je nog niet klaar met het traject. Om de privacywetgeving binnen de organisatie te borgen, is het belangrijk dat je het continu blijft verbeteren. Via een PDCA-traject (Plan, Do, Check en Act) kijk je steeds waar processen geoptimaliseerd kunnen worden.”    AVG-framework Om corporaties te helpen AVG-compliant te zijn en te blijven, heeft Audittrail samen met Mavim een AVG-framework ontwikkeld. “Compliant zijn betekent niet alleen dat er zaken uit de AVG ingeregeld zijn, maar ook dat deze geborgd worden. Dit kan met het framework door het in de organisatie te verankeren en mee te nemen in de eerdergenoemde PDCA-cyclus. Een voorbeeld hiervan is het verwerkingenregister. Dit kan per proces of processtap ingevuld worden en er kan een rapportage over worden uitgedraaid. Wanneer stappen in het proces veranderen, kan dit worden doorgevoerd in het framework en in het register voor dat proces. Ook het privacybeleid kan worden opgenomen met een opsteldatum, een revisiedatum en een verantwoordelijke. Dit kan gepubliceerd worden in het Mavim-portaal, waarbij elke medewerker het beleid kan zien en zijn of haar opmerkingen hierover kan geven. Ook dit kan gebruikt worden om het beleid continu te verbeteren en privacy écht te borgen in de organisatie. Al met al een tooling waarmee inzichtelijk wordt wat het niveau is van de organisatie ten opzichte van de AVG en wat er nog gedaan moet worden.” “Daarbij helpen wij corporaties ook met het uitvoeren van de privacy-nulmeting. Dit valt onder de Quickstart Implementatie AVG. Het plan dat uit de nulmeting voortkomt bevat onze bevindingen en geeft een lijst met stappen om aan de wetgeving te voldoen. Dit geeft een corporatie een ‘to do-lijst’, waarmee het in de hoofdlijnen het traject naar compliancy kan aflopen.”   Onderdeel maken Mitchel sluit af door te herhalen dat de tijd voor corporaties om te voldoen aan de AVG begint te dringen. “De klok tikt en de AVG is geen simpele wetgeving. Het is complex en kost tijd om in zijn geheel te implementeren. Afhankelijk van de inzet van medewerkers, de bereidheid voor verandering en de vrijgemaakte tijd kan de implementatie van de AVG enkele maanden duren. Begin met een nulmeting en krijg een goed overzicht van welke stappen je nog moet nemen. Neem daarna de tijd om de veranderingen te borgen, zodat je niet alleen voldoet aan de regelgeving maar privacy onderdeel maakt van je organisatie.” Bron: Audittrail.nl | Auteur: Johan van den Beld, CorporatieMedia Benieuwd welke stappen u nog moet nemen om te kunnen voldoen aan de AVG/GDPR? Wat de impact van deze vernieuwde wetgeving op uw organisatie is? Meld u dan aan voor het Webinar 'In 5 stappen voldoen aan de AVG/GDPR'.

Inhoud Voor de leesbaarheid zal ik eerst samenvatten wat AVG en New Public Management inhoudt. Daarna zal ik duidelijk maken waarom ik denk dat deze managementbenadering invloed kan hebben op de voorbereiding van publieke organisaties op de AVG. Alle organisaties binnen de EU moeten per 25 mei 2018 voldoen aan de AVG (GDPR) wetgeving. Dit houdt in dat er strengere normen worden gehanteerd als het gaat om het gebruik, de verwerking en het beheer van persoonsgegevens. Het doel van deze wetgeving is om consumenten te beschermen en duidelijke richtlijnen te scheppen voor organisaties over het waarborgen van deze bescherming van persoonsgegevens. Veel organisaties zijn nog aan het zoeken hoe ze hun processen en procedures zodanig kunnen inrichten dat er wordt voldaan aan deze wet. Organisaties moeten immers aan kunnen tonen dat ze verantwoord met persoonsgegevens omgaan. Bovendien hebben burgers het recht om te vragen ‘vergeten’ te worden of om persoonsgegevens over te dragen en hier zullen organisaties ook in moeten voorzien.   De betekenis van New Public Management New Public Management (NPM) is een term die opkwam in de jaren ‘80. Deze term beschrijft de trend om managementtechnieken uit de private sector toe te passen op publieke organisaties. Want in die tijd ervoeren de burgers een grote kloof tussen publieke en private sector ten aanzien van doelmatigheid en efficiëntie. Te veel bureaucratie belemmerde een doeltreffende overheid, waardoor tevredenheid van burgers over de dienstverlening van hun overheid afnam. Volgens NPM zou de publieke sector een stuk beter gaan presteren wanneer managementtechnieken uit de private sector gebruikt zouden worden. Gemeenten zouden bijvoorbeeld meer in termen van ‘klanten’ en ‘producten’ moeten gaan denken waar het burgers en gemeentelijke dienstverlening betreft. Dit zou moeten leiden tot meer doelmatig, doeltreffend en zuinig werken binnen gemeenten, provincies en ministeries.   De keerzijde van New Public Management Na zoveel jaren NPM worden er ook kritische geluiden waargenomen over de toepassing van bedrijfsmatig werken binnen de publieke sector. Zowel de kenmerken van de publieke sector als het te ver doorschieten in zakelijk denken leiden tot herbezinning over de toepassing van private managementprincipes. Zo is de relatie tussen gemeenten en burgers niet vergelijkbaar met de klantgestuurde markt voor een bedrijf. Ook zorgt de blijvende aanwezigheid van verhoudingsgewijs veel hiërarchische lagen binnen diezelfde gemeenten voor veel meer interne stroperigheid. Daardoor ontstaat inefficiëntie en is er gewoon minder aandacht voor de uitvoering. Een voorbeeld van een zaak waarbij men is doorgeschoten in zakelijk denken is de Ceteco-affaire, waarbij de provincie Zuid-Holland in het geheim voor ongeveer twee miljard gulden bankierde met als doel het maken van winst. Hoewel de provincie in het begin geld verdiende, leed zij vervolgens enorme verliezen door 47,5 miljoen gulden uit te lenen aan het noodlijdende handelshuis Ceteco, dat uiteindelijk failliet ging.   NPM en BPM Ondanks bovengenoemde kanttekeningen is NPM ingekapseld in het managementdenken binnen de overheid. Met de beginselen achter NPM zijn wel degelijk verbeteringen bereikt in de werking van publieke organisaties. En er zijn nog steeds verbeteringen mee te behalen, zolang de toepassing ervan maar plaatsvindt met inachtneming van publieke waarden. Dus geen fixatie op kostenbeheersing en efficiency, maar wel aandacht voor deze factoren met behoud van legitimiteit en democratische aansprakelijkheid. Mogelijke verbetergebieden zijn proces- en risicomanagement. Een onderdeel van bedrijfsmatig werken is namelijk het grondig belichten en inrichten van de processen, het kritisch doorlichten van de effectiviteit ervan en het doelgericht toepassen van mensen, technieken en middelen. En het inschatten en beheersbaar maken van de bijhorende risico's plus continue monitoring hiervan.   Voldoen aan de AVG met NPM Terug naar het voldoen aan de AVG: ik durf te stellen dat een juiste toepassing van NPM het voldoen aan deze wetgeving helpt te vereenvoudigen. Bijvoorbeeld door met de toepassing van procesmanagement en risicomanagement. Met procesmanagement kan worden bereikt dat de impact van deze wetgeving zichtbaar wordt. Processen in kaart hebben, levert inzicht en overzicht op in een operationeel procesmodel. Met dit overzicht is precies te zien op welke plekken in de organisatie de wetgeving op persoonsgegevens van toepassing is, op welke momenten welke persoonsgegevens gebruikt worden en op welke plek deze gegevens worden beheerd. Door inzicht in het proces is overzichtelijk op welke manier persoonsgegevens worden verzameld, hoe en door wie deze verwerkt worden en waar en tot wanneer deze worden opgeslagen. Hierdoor is het ook mogelijk risicomanagement toe te passen. Met de informatie die wordt gecreerd vanuit procesmanagement kunnen de risico’s worden geïdentificeerd. Daarmee kunnen vervolgens stappen worden ondernomen voor de beheersing en monitoring daarvan. Kortom, het in kaart brengen van de processen en risico’s levert inzicht en overzicht op. Daarmee kunnen processen en wet en regelgeving aan elkaar worden gekoppeld. Het maakt overzichtelijk waar privacygevoelige gegevens gebruikt en bewaard worden. Met dit inzicht en overzicht kan er een fit-gap analyse worden uitgevoerd ten aanzien van de wijze waarop de omgang met persoonsgegevens op dit moment is ingeregeld en hoe dit ingeregeld zou moeten zijn om te voldoen aan de AVG. De te nemen stappen worden snel inzichtelijk en er kan doelmatig en doeltreffend worden opgetreden om het operationele model aan te passen. Auteur: Rick van DongenWilt u meer weten over hoe procesmanagement kan helpen bij het voldoen aan de AVG? Volg dan het webinar ‘In 5 stappen voldoen aan de AVG/GDPR’. Meld u aan voor het webinar ‘Mavim AVG/GDPR framework: aantoonbaar in control’.  

Inhoud AVG compliant worden, maar vooral ook blijven, is een uitdagende en veelomvattende opdracht. Het gaat immers niet alleen om privacygevoelige gegevens die op allerlei plekken zijn opgeslagen, maar vooral ook om het menselijk handelen en de verwerking van deze persoonlijke gegevens door uw medewerkers. Vandaar de vraag: “Hoe staat u ervoor?” Bent u klaar voor 25 mei 2018? Als specialist op het gebied van security en IT draagt u de verantwoordelijkheid voor een project waarbij u de hele organisatie moet meekrijgen en waarvoor u nog een relatief korte periode de tijd heeft. Voldoen aan de AVG regelgeving is dus al geen gemakkelijke klus, maar daarnaast wilt u zowel aan interne als externe stakeholders kunnen aantonen waar uw organisatie staat en in hoeverre u compliant bent. Gelukkig is het bewustzijn van de AVG op managementlevel groot:   “Recent onderzoek van Microsoft onder 600 bedrijven laat zien dat 84% van de IT managers en 72% van de directeuren weet dat deze wet van toepassing is op zijn organisatie.”   De echte uitdaging: AVG bewustwording bij iedereen Traditioneel zijn de onderwerpen security en privacy sterk verbonden met IT. Dat laat het recente onderzoek van Microsoft ook zien. Dit is echter kort door de bocht – juist de medewerkers zijn vaak nog onvoldoende geïnformeerd:   “22% van de medewerkers is zich niet bewust van het risico op boete bij overtreding. Het niet bewustzijn is de grootste valkuil, omdat elke medewerker een risico vormt als er niet goed met privacygevoelige gegevens van klanten wordt omgegaan”   Hulp bij AVG: van diagnose tot oplossing door het bundelen van krachten Wij geloven dat de besproken problematiek rondom AVG goed aangepakt kan worden door het bundelen van krachten. Niet alleen binnen uw organisatie, maar ook in onze aanpak. Die aanpak verenigt drie partijen met elk hun eigen expertise:    Audittrail Audittrail is gespecialiseerd in privacy en informatiebeveiliging en kan uw organisatie met juridische vakkennis het juiste inzicht geven over de mate waarin u momenteel voldoet aan de AVG regelgeving. Ook biedt Audittrail inzicht en handvatten om concreet aan de slag te gaan richting AVG compliance. Ze kijken daarbij naar het volledige beeld van uw organisatie, de processen en mensen. Motion10 Naast de impact van AVG op uw organisatie, processen en mensen, heeft de regelgeving ook impact op uw systemen. Een voorbeeld hiervan is uw digitale werkplek en de inrichting daarvan: het specialisme van Microsoft partner Motion10. Ook het begeleiden van de verandertrajecten en adoptie van wijzigingen in deze digitale werkplek valt onder hun expertise. Mavim Mavim helpt u om alle inzichten rondom uw organisatie, processen, mensen en systemen in relatie tot de AVG vast te leggen, te visualiseren en er over te communiceren. Dit biedt u een dynamisch platform waarop u de weg naar continue AVG compliance kunt borgen – nu en in de toekomst. Met Mavim maakt u de impact van elke verandering inzichtelijk.   Bewustzijn creëren vanuit een positieve boodschap Uiteindelijk draait de AVG om een betere bescherming van privacy, van ons als individuen. Een belangrijke doelstelling, waar u met uw organisatie uw bijdrage aan kunt leveren. Het is belangrijk dat u kunt uitleggen waarvoor en waarom u specifieke gegevens gebruikt. U kunt hier naar kijken als administratieve last, maar het biedt u óók meer kansen: het vaker vragen om toestemming van een klant of prospect betekent meer contactmomenten en dus de mogelijkheid om uw klantrelatie verder uit te bouwen. Daarnaast hebben uw contacten aangegeven akkoord te zijn met uw communicatie en tonen zij daarmee interesse in uw product of dienst. Uw communicatie- en marketingactiviteiten kunnen zo doelgerichter worden.   Aan de slag Kortom, de AVG stelt u voor een complexe uitdaging die tegelijkertijd kansen biedt. AVG compliance vraagt om kennis en inzicht in de wetgeving, informatiestromen, processen, inrichting en gebruik van uw digitale werkplek. Een kwart van de Nederlandse bedrijven geeft dan ook aan hulp te willen bij hun reis naar AVG compliance. Wij – Audittrail, Mavim en Motion10 – houden van doen en bundelen onze krachten om te zorgen dat u deze uitdaging aankunt, uw kansen grijpt en continu en aantoonbaar voldoet aan de regelgeving.   Meer weten of direct aan de slag met AVG compliance? Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens van Europese burgers verwerken of bewaren, voldoen aan de AVG (Algemene Verordening Persoonsgegevens, ook wel bekend als GDPR). Niet voldoen aan de nieuwe Europese wetgeving kan naast reputatieschade substantiële boetes opleveren. Aantoonbaar AVG/GDPR compliant worden en blijven vereist kennis van en inzicht in de wet, informatiestromen, processen, inrichting en gebruik van een digitale werkplek. Microsoft-partners Audittrail, Mavim en Motion10 bundelen hun expertises om u hierbij te helpen.Wilt u meer weten of direct aan de slag? Neem contact met ons op! Of download de whitepaper Aan de slag met AVG!

Inhoud De afgelopen jaren, en vooral de afgelopen maanden, hebben we veel organisaties zien strijden om compliant te raken aan de Algemene verordening gegevensbescherming. Veel organisaties hebben inzicht verkregen in hun status en hebben vervolgens hun zwakke punten aangepakt. Goed bezig! Maar wat nu? De organisatie is op de goede weg en kan zeggen dat het al bijna compliant is. Maar in hoeverre is de organisatie ooit compliant? En hoe zorg je ervoor dat de organisatie de aankomende tijd ook zo ‘compliant mogelijk’ blijft? De Algemene verordening gegevensbescherming heeft 99 artikelen en 173 gronden. Om te kunnen zeggen dat de organisatie volledig compliant is, moet u aan alles volledig voldoen – altijd. Dat is onwerkelijk. Processen zijn immers aan verandering onderhevig. Neem bijvoorbeeld het verwerkingsregister. Wat wij altijd adviseren, is dat u als organisatie goed nadenkt over de privacy binnen de organisatie, alle verplichte documentatie hebt, awareness creëert binnen de organisatie, een procedure meldplicht datalekken hebt… oftewel: dat u privacy heeft geïntegreerd binnen de organisatie. Maar hoe realiseer u dat zo goed mogelijk? Hoe zorgt u ervoor dat u weet wat de status is van artikel 8 en dat u weet wie verantwoordelijk is voor grond 121? Dat kunt u realiseren door de privacy van de organisatie te borgen. In een duidelijk en overzichtelijk framework.   Excel? Nee, onze tip: AVG-framework Door het borgen van de AVG, kunt u op een relatief makkelijke manier -zo goed mogelijk- compliant blijven. Hierdoor houdt u het namelijk beheersbaar. Door informatie te borgen weet u precies wat de status is van alle regels en gronden. We horen vaak van organisaties dat ze borgen in Excel. Voor de kleinere organisaties werkt dat prima – en past het binnen het budget. Voor andere organisaties is het de beste uitkomst om een professioneel framework, wat speciaal is gebouwd voor de Algemene verordening gegevensbescherming, te gebruiken.   Onze privacy juristen + Mavim experts + Mavim = sterk AVG-framework Binnen Audittrail hebben we veel verschillende specialisaties: en dat creëert vele mogelijkheden voor onze klanten. Onze privacyjuristen hebben samen met onze Mavim-experts een sterk inhoudelijk én praktisch framework gebouwd. Niet alleen is de volledige AVG inclusief de koppeling naar verordeningen opgenomen. Ook zijn alle belangrijke onderwerpen uit de AVG uitgelicht en andere relevante wetten opgenomen, zoals de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Het is dus een zéér compleet framework. Het framework heeft véél voordelen, om er maar een paar te noemen:   Inclusief een lijst aan beheersmaatregelen Inzicht in incidentmanagement De mogelijkheid om alle processen te integreren Het uit kunnen zetten van taken en acties op basis van flows (nieuwe functionaliteit!)   De software van Mavim, wat is dat? De software van Mavim is gebaseerd op Microsoft technologie en vormt daarmee een uitbreiding van uw huidige Microsoftpakket. Mavim maakt gebruik van een relationele database, waardoor het mogelijk is om onderwerpen aan elkaar te verbinden door middel van het leggen van relaties. Hierdoor is het mogelijk om inzicht en overzicht te creëren in de samenhang tussen verschillende onderwerpen en zijn de mogelijkheden ongekend. Mavim bestaat uit twee omgevingen; de Mavim Manager waar alle informatie wordt vastgelegd en de Mavim Portal waar de informatie gepubliceerd wordt. Hierdoor is het mogelijk om een selecte groep medewerkers verantwoordelijk te maken voor het vastleggen van informatie, terwijl de Mavim Portal alle medewerkers de gelegenheid biedt om de vastgelegde informatie in te zien.   Nóg beter dan eerst De afgelopen maanden zijn we bezig geweest om organisaties met dit framework nóg beter te ondersteunen bij de AVG en om het nog duidelijker en overzichtelijker te maken. De structuur is nu nóg makkelijker, er is standaard privacydocumentatie (die vanuit de AVG verplicht is) toegevoegd er een dashboard gecreëerd waarin een visuele weergave wordt getoond van de status van compliance van de organisatie.    Geen gedoe. Wij implementeren het AVG-framework Tot zover heeft uw organisatie zaken geborgd in Excel. Het lijkt omslachtig werk om dit te gaan overzetten naar een nieuw systeem. Geen zorgen: dat doen wij voor u! Bij afname van het AVG-framework, ontvangt u niet alleen het AVG-framework zelf, maar ook een bijbehorend 2-daagse consultancy traject (of meer, als dat de wens is). Deze tijd wordt benut om het framework bij uw organisatie te implementeren, naar wens te configureren en custom opties te verzorgen. Daarbij geven we een workshop voor de medewerkers die met het framework aan de slag gaan. Oftewel: we geven uw organisatie een snelle start met het borgen van de AVG! Geen zorgen, tijd voor het borgen. Bron: Audittrail