Wij ondersteunen al 20 jaar organisaties in verschillende sectoren met gegevensbescherming en privacy vraagstukken. Zowel voor als na de invoering van de Europese Algemene verordening gegevensbescherming (AVG) zijn veel nulmetingen uitgevoerd. Wat zijn de meest voorkomende bevindingen die tijdens de onderzoeken naar voren kwamen? In deze blog geven wij daar antwoord op.
Belangrijkste constateringen
Veel organisaties gebruiken dit soort onderzoeken om vast te laten stellen in welke mate de organisatie voldoet aan de eisen die voortvloeien uit wetgeving voor de bescherming van persoonsgegevens inclusief relevante aanpalende sectorale wet- en regelgeving.
De algemene indruk is dat organisaties zich realiseren dat zij stappen moeten ondernemen om te voldoen aan wet- en regelgeving met betrekking tot gegevensbescherming en privacy. Tijdens de onderzoeken komt onder andere naar voren dat bepaalde essentiële zaken niet voldoende zijn ingericht.
Wij sommen er hieronder een paar op die wij bij diverse organisaties hebben opgemerkt:
- Overzicht en inzicht in verwerkingen ontbreekt;
- Is de organisatie verwerkingsverantwoordelijke of verwerker?
- Positionering en deskundigheid functionaris voor gegevensbescherming; en
- Privacy (AVG) verantwoording van de organisatie en onrust van het bestuur.
1. Overzicht en inzicht in verwerkingen ontbreekt
Het eerste dat de Autoriteit Persoonsgegevens (AP) zal doen bij het binnentreden van een organisatie, is het opvragen van het register van verwerkingen. Als dat niet getoond kan worden, staat de organisatie al op 1-0 achterstand. Immers, zo zal de AP redeneren, als het overzicht en inzicht in verwerkingen ontbreekt, hoe kan de organisatie dan instaan dat persoonsgegevens afdoende zijn beveiligd?
Als een register van verwerkingen niet getoond kan worden, staat de organisatie al op 1-0 achterstand
2. Is de organisatie verwerkingsverantwoordelijke of verwerker?
Het Uber-besluit heeft duidelijk gemaakt dat als een verwerker zich als verwerkingsverantwoordelijke gedraagt, dan ook een verwerkingsverantwoordelijke is. Ook al zijn onderling andere contractuele afspraken gemaakt. De AP kijkt naar de feitelijke situatie.
Wij hebben geconstateerd dat dochterondernemingen in Nederland voor hun IT afhankelijk waren van hun (buitenlandse) moederbedrijf die ook het informatiebeveiligingsbeleid en/of het niveau van beveiliging bepaalde voor de dochteronderneming. Hierdoor is het moederbedrijf ook een verwerkingsverantwoordelijke en daarmee ook verantwoordelijk voor het geheel van de gegevensverwerking en de naleving van de daarmee samenhangende verplichtingen, zoals het (tijdig) melden van datalekken.
Ook al zijn onderling andere contractuele afspraken gemaakt. De AP kijkt naar de feitelijke situatie.
3. Positionering en deskundigheid functionaris voor gegevensbescherming
De AVG heeft drie artikelen gewijd aan de functionaris voor gegevensbescherming (FG). Deze functionaris moet binnen de organisatie de belangen van de betrokkenen behartigen, met name bij een spanningsveld tussen de belangen van de organisatie en betrokkenen. Om deze taak goed te kunnen uitoefenen is de positie van de FG binnen de organisatie erg belangrijk. Ook is een brede training nodig om alle facetten van de functie goed te beheersen.
Wij zien nog te vaak medewerkers die gepositioneerd worden onder een leidinggevende die een tegengesteld belang kan hebben, de FG-taken erbij moeten doen en/ of een zeer beperkte opleiding hebben gehad.
4. Privacy (AVG) verantwoording van de organisatie en onrust van het bestuur
De AVG schrijft voor dat de naleving van deze wet moet kunnen worden gewaarborgd en worden aangetoond. Organisaties hebben vaak de kennis en kunde niet hoe ze dit moeten inregelen. Het gevolg is dat dit bestuurders onrustig maakt. Want hoe kan je rust hebben als je de risico- en aansprakelijkheidsrisico’s niet onder controle hebt. Gelukkig hebben ze dikwijls te maken met een accountant die niet doorvraagt.
Organisaties hebben vaak de kennis en kunde niet hoe ze de verantwoording moeten inregelen. Het gevolg is dat dit bestuurders onrustig maakt..
Conclusie
Op basis van de uitkomsten van vele nulmetingen adviseren wij de leiding van andere organisaties ook een nulmeting te laten uitvoeren. Hierdoor krijgt u een goed inzicht waar uw organisatie met betrekking tot het beschermen van persoonsgegevens staat.
Vanuit deze basis kan gewerkt worden aan een stappenplan dat realistisch is voor uw organisatie om een beoogd volwassenheidsniveau te bereiken dat op dit moment past bij het vermogen van de organisatie om te voldoen aan de privacywetgeving.
Vervolgens kan dit niveau volgens een gefaseerde en planmatige aanpak worden gerealiseerd. Het hanteren van een model met volwassenheidsniveaus kan daarbij behulpzaam zijn.
Meer informatie
Heeft u vragen of opmerkingen naar aanleiding van het lezen van deze blog? Laat het ons weten. Wij zijn bereikbaar via +31 0(70) 392 22 09 en info@duthler.nl.
Wilt u een nulmeting voor uw organisatie laten uitvoeren? Kijk voor meer informatie op deze pagina.