Privacy implementatie en onderhoud

Wat is de verwachtingskloof?

De Europese toezichthouders blijven richtlijnen uitgeven waarin de verplichtingen uit de Europese Algemene Verordening Gegevensbescherming (AVG) nader worden uitgelegd, zie Guidelines, Recommendations, Best Practices. Wat in de uitleg van de toezichthouders opvalt zijn de verstrekkende beheers- en beschermingseisen.

In haar Focus AP 2020 – 2023 legt de Autoriteit Persoonsgegevens accenten voor toezicht op het effectief beschermen van persoonsgegevens. Wij zien een reeks van boetes bij met name overheidsorganisaties, zie boetes en andere sancties. Uit de jaarverslagen van de AP is het overigens moeilijk een eenduidig beeld te destilleren van de stand bij bedrijven van het georganiseerd zijn voor effectief beschermen van persoonsgegevens.

Bij het organiseren van het effectief beschermen van bedrijfsgeheimen verwacht de rechter een inventarisatie van de bedrijfsgeheimen, een overzicht van de beheersmaatregelen en het bewijs dat de maatregelen effectief hebben gewerkt.

Bij het concretiseren van de wettelijke AVG-eisen door bedrijven en toezichthouders is een verwachtingskloof ontstaan. Dit geldt ook voor bedrijven en rechters bij het beschermen van bedrijfsgeheimen.

Hoe kunnen wij u helpen?

Neem gerust contact met ons op om uw vraag of behoefte te bespreken.

Factsheet privacy implementatie en onderhoud

Download hier de factsheet over privacy implementatie en onderhoud.

Na verloop van tijd (bijvoorbeeld na drie tot zes jaar) is een beoordeling van de ingerichte organisatie van het effectief beschermen van persoonsgegevens nodig.

Het gaat om de volgende toetsing:

  • Voldoet de implementatie aan de richtlijnen (guidelines) van de toezichthouders;
  • Worden de persoonsgegevens daadwerkelijk effectief beschermd (en waar blijkt dat uit);
  • Wat zijn de signalen uit de eigen organisatie en die van partners?
  • Kan het beschermen van persoonsgegevens worden verruimd naar het beschermen van persoonsgegevens én bedrijfsgeheimen? en
  • Wat zijn de waardeproposities, businessplannen en realistische plannen van aanpak voor het realiseren van de veranderingen.

Wij kunnen een dergelijk onderzoek zien als een nulmeting of DPIA. De relevante wetgeving én de richtlijnen van de Europese toezichthouders vormen de basis voor de baselines. Bovendien is het uitdrukkelijk de bedoelen een toegankelijke businesscase op te stellen waar niet alleen de noodzaak voor veranderen uit blijkt maak ook de waardeproposities voor het bedrijf.

Wij passen steeds de opleiding voor functionaris voor gegevensbescherming en aanpalende trainingen aan voor nieuwe wetgeving en de interpretaties van wetgeving door de toezichthouders. Wij kennen de impact van nieuwe wetgeving en interpretaties van toezichthouders op het organiseren van bedrijfsactiviteiten.

Ziet een bedrijf de interpretaties van het wettelijk kader als een plicht dan kunnen wij ons voorstellen dat “de moed in de schoenen zakt”. Het is ook mogelijk de richtlijnen van de toezichthouders vanuit het perspectief van bedrijfsvoering te bekijken. Dit breder perspectief biedt kansen de bedrijfs- en persoonsgegevens en ook de bedrijfsgeheimen effectief te organiseren en tegelijkertijd de aansprakelijkheids- en kostenrisico’s beheersbaar te houden.

Aan het plan van aanpak implementatie volgende fase beschermen bedrijfs- en persoonsgegevens en bedrijfsgeheimen ligt een businesscase ten grondslag.

Uitgaande van de organisatie van de bedrijfsactiviteiten, de signalen van medewerkers bedrijfsprocessen effectiever te organiseren en de inschatting dat medewerkers bereid zijn de bedrijfsprocessen stellen wij een plan van aanpak op. Het plan van aanpak met duidelijke mijlpalen en producten bespreken wij met de bedrijfsleiding en het afdelingsmanagement. Na een akkoord voeren wij het plan in samenwerking met de medewerkers uit.

De implementatie kan betrekking op verschillende aandachtspunten. In het algemeen kunnen wij noemen:

  • Overzicht en inzicht creëren verantwoordelijkheidsdomein van entiteiten en samenwerkingsverbanden;
  • Met behulp van de bedrijfsjuridische functie met partners (klanten, medewerkers en leveranciers), op een systematische wijzen, regie- en verwerkersovereenkomsten afspreken en het contractmanagement inrichten;
  • Uitgaande van de organisatie van bedrijfsactiviteiten verwerkingen van persoonsgegevens en bedrijfsgeheimen inventariseren en vastleggen, de beheersmaatregelen documenteren en het bewijs van effectieve werking verzamelen;
  • Incidenten als gevolg van het doorbereken van beheers- en beveiligingsmaatregelen vastleggen en al dan niet gedocumenteerd promoveren tot datalekken;
  • Continu medewerkers bewustmaken en trainen;
  • Beheersmaatregelen gericht op beschermen van persoonsgegevens “by design” opnemen in de bedrijfsprocessen waarmee de bedrijfsactiviteiten georganiseerd zijn; en
  • Gericht en inzichtelijk samenstellen van management rapportages.

De scope van de te zetten stappen is het beschermen van bedrijfs- en persoonsgegevens en bedrijfsgeheimen. Het beschermen van gegevens is procesmatig georganiseerd en wordt ondersteund IT-middelen.

De projectleider belegt de resultaten van de implementatie in de bedrijfsorganisatie. Het afdelingsmanagement en medewerkers nemen de sturing over en zorgen voor het onderhoud. Periodiek stelt de bedrijfsleiding het management en medewerkers in staat kennis te nemen van nieuwe ontwikkelingen op het vlak van het beschermen van persoonsgegevens en bedrijfsgeheimen.

Het om de drie jaar beoordelen van de organisatie van het beschermen van gegevens leidt veelal tot nieuwe inzichten. Aan de ene kant de constatering van een verwachtingskloof en aan de andere kan de kansen de bedrijfsactiviteiten effectiever te organiseren.

Heeft u vragen of behoefte aan een afspraak?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Maak een afspraak met drs. André J. Biesheuvel RA RE RFG, de service-eigenaar gegevensbescherming, of een professional van zijn team.