Ga naar de inhoud

Hulp nodig met uw privacy implementatie en onderhoud?

De dagen dat het beschermen van persoonsgegevens bij organisaties geïmplementeerd moest worden zijn voorbij. Organisaties hebben omvangrijke investeringen in opleidingen gedaan, maar hebben nagelaten kennis- en verandermanagement te organiseren en structurele maatregelen in de bedrijfsprocessen “by design” op te nemen.

Bedrijven maken beperkte budgetten vrij voor het beschermen van persoonsgegevens of maken omvangrijke kosten door het aanstellen van functionarissen die onderdeel zijn van risk- en compliancemanagement. Slechts beperkte ondersteunende IT-systemen voor bedrijfsprocessen, waarmee bedrijfsactiviteiten georganiseerd worden, beschikken over beheers-, beveiligings- en compliancemaatregelen waarmee gegevens effectief worden geschermd. De opgeleide medewerkers zijn inmiddels vertrokken of vervullen andere taken. 

De wetgever zit niet stil en gebruikt de AVG voor andere wetgevingsdomeinen (bijvoorbeeld het regelen van het gebruik van kunstmatige intelligentie, de AI Act) en de toezichthouder kleurt de wetgeving in met behulp van guidelines.

Wat is de verwachtingskloof?

De wetgever heeft de schoonheid van de Europese Algemene verordening gegevensbescherming (AVG) ontdekt. In het algemeen zijn de persoonsgegevens voor een persoon die het aangaat betrouwbaar, vertrouwelijk en beschikbaar. Als de persoon vaststelt dat de kwaliteit van de persoonsgegevens ontoereikend is dan geeft de AVG de persoon een scala aan instrumenten de verwerkingsverantwoordelijke; het bedrijf of de instellingen, hierop aan te spreken. Parallel vraagt de wetgever van de verwerkingsverantwoordelijke compliant te zijn met de wettelijke en contractuele verplichtingen zodat de persoonsgegevens aantoonbaar effectief worden beschermd. Dit wetgevingscomplex is van toepassing op velerlei wetten en regels; bijvoorbeeld voor het toepassen van kunstmatige intelligentie, de AI Act. Het gevolg is dat de AVG door steeds meer andere wetgeving gebruikt wordt rechten te geven aan personen; betrokkene en verplichtingen op te leggen aan verwerkingsverantwoordelijken; bedrijven en instellingen. 

De Europese toezichthouders leggen wetgeving uit in guidelines, zie: Guidelines, Recommendations, Best Practices en nationale aanvullende regels. Het valt op dat toezichthouders de verplichtingen voor verwerkingsverantwoordelijken oprekken door bijvoorbeeld effectieve werking van getroffen beheers-, beveiligings- en compliancemaatregelen te vragen. Bedrijven en instellingen kunnen uitsluitend aan deze eisen voldoen als zij in hun processen (waarmee de bedrijfsactiviteiten georganiseerd worden) de beheers-, beveiligings- en compliance-maatregelen ‘by design’ inbouwen waardoor een situatie ontstaat dat de bedrijfsvoering ‘by default’ compliant is met wettelijke en contractuele verplichtingen op het vlak van het beschermen van persoonsgegevens; dus effectief de persoonsgegevens beschermen.

In haar Focus AP 2020 – 2023 legt de Autoriteit Persoonsgegevens (AP) accenten voor toezicht op het effectief beschermen van persoonsgegevens. Wij zien een reeks van boetes bij met name overheidsorganisaties, zie: boetes en andere sancties. Uit de jaarverslagen van de AP is het overigens moeilijk een eenduidig beeld te destilleren van de stand bij bedrijven van het georganiseerd zijn voor effectief beschermen van persoonsgegevens. 

Bij het organiseren van het effectief beschermen van bedrijfsgeheimen verwacht de rechter een inventarisatie van de bedrijfsgeheimen, een overzicht van de beheersmaatregelen en het bewijs dat de maatregelen effectief hebben gewerkt. De AI Act gaat ervan uit dat een bedrijf verantwoordelijk omgaat met persoonsgegevens, de belangen van een persoon niet schaadt en verantwoording aflegt over het eerlijk toepassen van kunstmatige intelligentie.

De verwachtingen ten aanzien van effectieve bescherming van (persoons)gegevens van de wetgever, de toezichthouder en de personen liggen voor vele organisaties hoger dan de getroffen beheers-, beveiligings- en compliancemaatregelen die daadwerkelijk in (primaire) processen zijn getroffen. Zonder de nodige privacy implementatie en beheer die de verwachtingen volgt zal de kloof steeds groter worden.

Wat is onze aanpak?

Wij passen steeds de opleiding voor functionaris voor gegevensbescherming (FG) en aanpalende bewustwordings- en trainingsprogramma’s aan voor nieuwe wetgeving en de interpretaties van wetgeving door de toezichthouders. Wij kennen de impact van nieuwe wetgeving en interpretaties van toezichthouders op het organiseren van bedrijfsactiviteiten.

Ziet een bedrijf de interpretaties van het wettelijk kader als een plicht dan kunnen wij ons voorstellen dat “de moed in de schoenen zakt”. Het is ook mogelijk de richtlijnen van de toezichthouders vanuit het perspectief van bedrijfsvoering te bekijken. Dit breder perspectief biedt kansen de bedrijfs- en persoonsgegevens en ook de bedrijfsgeheimen effectief te organiseren en tegelijkertijd de aansprakelijkheids- en kostenrisico’s beheersbaar te houden.

Aan het plan van aanpak implementatie volgende fase beschermen bedrijfs- en persoonsgegevens en bedrijfsgeheimen ligt een businesscase ten grondslag.

Implementatie

Uitgaande van de organisatie van de bedrijfsactiviteiten, de signalen van medewerkers bedrijfsprocessen effectiever te organiseren en de inschatting dat medewerkers bereid zijn de bedrijfsprocessen stellen wij een plan van aanpak op. Het plan van aanpak met duidelijke mijlpalen en producten bespreken wij met de bedrijfsleiding en het afdelingsmanagement. Na een akkoord voeren wij het plan in samenwerking met de medewerkers uit.

De implementatie kan betrekking op verschillende aandachtspunten. In het algemeen kunnen wij noemen:

  • Overzicht en inzicht creëren verantwoordelijkheidsdomein van entiteiten en samenwerkingsverbanden;
  • Met behulp van de bedrijfsjuridische functie met partners (klanten, medewerkers en leveranciers), op een systematische wijzen, regie- en verwerkersovereenkomsten afspreken en het contractmanagement inrichten;
  • Uitgaande van de organisatie van bedrijfsactiviteiten verwerkingen van persoonsgegevens en bedrijfsgeheimen inventariseren en vastleggen, de beheersmaatregelen documenteren en het bewijs van effectieve werking verzamelen; 
  • Incidenten als gevolg van het doorbereken van beheers- en beveiligingsmaatregelen vastleggen en al dan niet gedocumenteerd promoveren tot datalekken; 
  • Continu medewerkers bewustmaken en trainen; 
  • Beheersmaatregelen gericht op beschermen van persoonsgegevens “by design” opnemen in de bedrijfsprocessen waarmee de bedrijfsactiviteiten georganiseerd zijn; en
  • Gericht en inzichtelijk samenstellen van management rapportages.

De scope van de te zetten stappen is het beschermen van bedrijfs- en persoonsgegevens en bedrijfsgeheimen. Het beschermen van gegevens is procesmatig georganiseerd en wordt ondersteund IT-middelen.

Onderhoud

De projectleider belegt de resultaten van de implementatie in de bedrijfsorganisatie. Het afdelingsmanagement en medewerkers nemen de sturing over en zorgen voor het onderhoud. Periodiek stelt de bedrijfsleiding het management en medewerkers in staat kennis te nemen van nieuwe ontwikkelingen op het vlak van het beschermen van persoonsgegevens en bedrijfsgeheimen.


Leg uw vraag voor aan onze experts

Heeft u vragen over uw privacy implementatie en onderhoud? Neem gerust contact met ons op, wij staan u graag te woord.