De AVG; niet alleen een IT-aangelegenheid

Herke-ICT-de-avg2

Op 25 mei gaat in heel Europa de nieuwe privacywet in: de ‘Algemene verordening gegevensbescherming’ (AVG) ofwel ‘General Data Protection Regulation’ (GDPR). Onder deze nieuwe wetgeving hebben alle organisaties die persoonsgegevens van Europese inwoners verwerken (nog) meer verplichtingen. En anders dan wat men vaak denkt, beperkt deze nieuwe wetgeving zich niet alleen tot de ICT; het gaat om de werkwijzen en de zorgvuldigheid van de totale organisatie.

De AVG; niet alleen een IT-aangelegenheid

 

IT-managers beter bekend met de AVG

Onderzoeksbureau Team Vier voerde in opdracht van Microsoft Nederland onderzoek uit naar de stand van zaken met betrekking tot de AVG. Ze ondervroegen ruim 600 Nederlandse directeuren en IT-managers. Uit dit onderzoek blijkt dat IT-managers over het algemeen beter bekend zijn met de AVG dan directeuren. Toch weet (nog) niet iedereen of deze wetgeving ook van toepassing is op hun organisatie. De AVG heeft impact op nagenoeg iedere organisatie. Niet alleen op multinationals, maar ook op het MKB en zzp-ers. 68 procent van de IT-managers ervaart de komst van de AVG als positief tegenover 57 procent van de directeuren. Duidelijkheid rond richtlijnen, meer transparantie en verbeterde bescherming van persoonsgegevens zijn hiervoor aangedragen redenen. Echter blijkt het risico op een boete bij overtreding nog niet bij iedereen bekend. Benieuwd naar het volledige onderzoek? Download dan de infographic.

 

AVG gaat de IT voorbij

Wanneer het de AVG betreft zijn de IT-managers het meest betrokken. Opmerkelijk, maar niet verrassend. Opmerkelijk omdat de kern van de AVG, zorgvuldige verwerking en bescherming van persoonsgegevens, niet altijd voortkomt uit IT-gerelateerde overwegingen. Denk bijvoorbeeld aan de keuze van het management om persoonsgegevens te verwerken vanwege marketing- of HR-gedreven doelen. Daarmee is naleving een verantwoordelijkheid van de gehele organisatie. De AVG vraagt vooral om bewustwording en het aanpassen van hoe de organisatie nadenkt over het verzamelen, verwerken, beheren en beveiligen van persoonsgegevens. In de praktijk betekent dit een cultuurverandering en nieuwe manieren van werken, die ondersteund wordt door modernisering van de IT-omgeving.

Tastbaar

De AVG blijkt voor velen nog niet heel tastbaar te zijn. Twee specifieke artikelen van de verordening – de artikelen 5.1 en 5.2 – geven inzicht in de basisbeginselen van de verordening. En leiden automatisch tot de vraag: wil ik persoonsgegevens verzamelen en verwerken? Met andere woorden: heb ik een rechtmatige grond en ben ik daar transparant over?

In een digitale wereld zijn die redenen niet moeilijk te vinden: je organisatie wil klanten een persoonlijke ervaring bieden en dat vereist het verzamelen van persoonsgegevens. De kernvraag ‘wil ik persoonsgegevens opslaan?’ is doorgaans niet een beslissing van de IT-afdeling. Bijna elke organisatie zal deze vraag met een ja beantwoorden. De logische vervolgvraag: Wát ga je verzamelen. Want je moet ten eerste zorgen dat je gegevens verzamelt die passen bij het doel (doelbinding) en ten tweede ook niet meer verzamelt dan nodig is. De AVG-tekst noemt dat laatste ‘minimale gegevensverwerking’. Dit zorgt voor duidelijkheid en minder risico’s. De mate waarin je persoonsgegevens verzamelt, is uiteindelijk ook een zaak die goed besproken moet worden in de directiekamer.

Als deze zaken duidelijk geadresseerd zijn, kun je praktisch aan de slag met het inrichten van processen om de persoonsgegevens goed te beschermen.

Pak die kans!

De AVG biedt je de mogelijkheid om al je processen nog eens goed te bekijken en verbeteringen door te voeren. Zo kan je bijvoorbeeld overstappen naar de Cloud. Maar denk ook aan nieuwe manieren van samenwerken binnen teams en organisaties en hoe je technologie voor je laat werken. Creëer bewustzijn bij medewerkers: houd oude gewoontes tegen het licht en maak plaats voor nieuwe processen die een beter resultaat voor jouw organisatie tot gevolg hebben. Dan ben je niet alleen klaar voor de AGV, maar ook voor de toekomst.

Zelf aan de slag met het AVG stappenplan

Is jouw organisatie nog niet AVG compliant? Ga dan gestructureerd te werk. Achterhaal waar je de grootste risico’s loopt in de bescherming van persoonsgegevens. Wordt het lastig om tussen nu en 25 mei 2018 alles in één keer te doen, bepaal dan wat op de korte termijn echt belangrijk is en begin daarmee. Onderschat de AVG niet. Het vraagt de nodige tijd en energie om alles goed voor te bereiden en uit te voeren. Online vind je veel achtergrondinformatie en nuttige tools. Met dit stappenplan helpen wij je graag op weg.

Meer informatie?

Wil je meer informatie of ben je benieuwd hoe jouw organisatie op het gebied van IT AVG compliant wordt? Neem dan contact met ons op via + 31 072 727 11 00 of vul het contactformulier in.

Share on FacebookTweet about this on TwitterShare on LinkedIn