Waar staan we? Waar moeten we naar toe? Hoe doen we dat?

Minister Dekker van Rechtsbescherming laat in een brief aan de Tweede Kamer weten dat bijna een jaar na de invoering van de AVG nog veel onduidelijkheid bestaat omtrent de privacywet. Korte tijd later komt de Autoriteit Persoonsgegevens met haar jaarverslag: “2018 mijlpaal voor privacybescherming”. In deze blogserie ‘1 jaar na de AVG’ blikken we terug op het afgelopen jaar en kijken we vooruit naar de toekomst. Meer specifiek laten wij zien hoe u AVG compliant kunt worden en blijven.

Vorige week gingen wij in op de vijf fasen in de AVG implementatie: van ontkenning tot acceptatie. Vandaag: 1 jaar AVG: Waar staan we? Waar moeten we naar toe? Hoe het Considerati Privacy Compliance & Maturity normenkader uw organisatie kan helpen.

--------------------------------------------------------------------------------------------------------------------------------------------

Organisaties investeerden het afgelopen jaar veel tijd, geld en moeite in het bedenken en implementeren van maatregelen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De meeste organisaties vragen zich nu echter af: ‘Waar staat mijn organisatie (ten opzichte van de rest van de sector)? Zijn de genomen maatregelen effectief? Zijn we klaar?’ In deze blog vertellen we u hoe u aan de hand van het Considerati Privacy Compliance & Maturity normenkader een antwoord krijgt op deze vragen.  

Het Considerati Privacy Compliance & Maturity normenkader

Om organisaties een antwoord te geven op bovengenoemde vragen ontwikkelde Considerati op basis van internationale standaarden, best practices en haar 10 jaar lange ervaring een eigen Privacy Compliance & Maturity normenkader. Het privacy normenkader geeft organisaties inzicht in zowel de mate van compliance (‘in hoeverre voldoet mijn organisatie nu aan de AVG?’) als de mate van volwassenheid (‘in hoeverre kan mijn organisatie duurzaam blijven voldoen aan de AVG?’).  

Het model bestaat uit 40 normen verspreid over 10 onderwerpen: van governance, beleid en privacy by design tot beveiliging en awareness. Iedere norm bestaat op haar beurt uit vijf niveaus (zie de afbeelding voor een uitleg per niveau), namelijk:

  1. ad hoc
  2. beheerst
  3. vastgesteld
  4. voorspelbaar
  5. geoptimaliseerd.

Volgens ons model voldoet een organisatie (blijvend) aan de AVG indien zij bij alle normen minimaal niveau 3 haalt. Waar van toepassing, verwijzen onze normen ook naar relevante normen uit de modellen van het CIP en NOREA. Om echter een beter beeld te verkrijgen van uw huidige situatie bevat ons normenkader ook aanvullende normen.

Resultaat van het Privacy Compliance & Maturity normenkader

Op basis van (zelf)rapportage of een door ons verrichte audit -waarover volgende week meer- verkrijgt uw organisatie inzicht in de mate van compliance & volwassenheid met betrekking tot de AVG. Voor alle 40 normen bepaalt het model een niveau, waarna u door middel van een rapportage en een overzichtelijke spiderchart ziet wat per onderwerp uw score is. 

Hoe nu verder? Stoppen is geen optie

Zodra u inzicht heeft in uw niveau van compliance & maturity heeft u grofweg drie opties:

  1. Het niveau verhogen en de privacy organisatie verbeteren;
  2. De status quo behouden en de privacy organisatie onderhouden;
  3. Niets doen, de privacy organisatie verwaarlozen en de controle verliezen.

Verbeteren & innoveren

U besluit te blijven investeren in de opbouw van de privacy organisatie. Dat doet u ofwel omdat uw organisatie nog niet voldoet aan de AVG, ofwel omdat u privacy als unique selling point (USP) ziet. Hoe hoger uw volwassenheidsniveau, hoe gemakkelijker uw organisatie blijft voldoen aan de AVG en hoe effectiever en efficiënter zij is bij het inbakken van privacy in nieuwe technologische ontwikkelingen. 

Onderhouden

U voldoet reeds aan de AVG of u kiest weloverwogen om bepaalde risico’s van niet voldoen aan de AVG te accepteren. Om op het huidige niveau te blijven is het echter nodig dat u uw privacy organisatie blijft onderhouden door jaarlijks een bepaald budget te besteden aan de dagelijkse activiteiten, zoals het bijhouden van het register van verwerkingen, het uitvoeren van DPIA’s en het afhandelen van datalekken. Zie de privacy organisatie als uw eigen huis. Indien u deze niet onderhoudt, zullen op den duur steeds meer mankementen ontstaan. 

Verwaarlozen

Indien u denkt dat u op een bepaald moment ‘klaar’ bent met de maatregelen van de AVG, dan loopt u het gevaar uw privacy organisatie te verwaarlozen. Dat leidt uiteindelijk tot het niet meer voldoen aan de AVG. Vanwege uw verantwoordingsplicht uit de AVG moet u namelijk te allen tijde kunnen aantonen dat u voldoet aan alle vereisten van de AVG. Zodra u stopt met alle privacy werkzaamheden, dan zal dat reeds op korte termijn niet meer het geval zijn. Uw register van verwerkingsactiviteiten zal bijvoorbeeld gedateerd zijn, omdat u nieuwe verwerkingen niet meer in beeld heeft. Mocht de verwaarlozing te lang duren, dan kan het zelfs zo zijn dat u op den duur weer een nieuw project voor de implementatie van AVG moet starten met alle bijbehorende kosten. Uw huis is dan namelijk ingestort en deze moet u weer vanaf de grond opbouwen.

Voor elke stap omhoog in het maturity model is er een duidelijk verbeterplan. Wilt u bijvoorbeeld van niveau 2 naar 3 komen op een onderdeel? Of wilt u excelleren op het gebied van privacy en overal niveau 5 halen? Dan biedt ons eindrapport u een duidelijke marsroute om te verbeteren.

Neem contact op

Bent u benieuwd hoe uw organisatie scoort op het gebied van Compliance en Maturity en vraagt u zich af welke stappen u nog dient te nemen om te voldoen aan de AVG? Of weet u eigenlijk al dat u voldoet aan de AVG, maar bent u op zoek naar een roadmap om te innoveren op het gebied van privacy en privacy als unique selling point te hanteren? Neem dan vrijblijvend contact met ons op voor een Maturity Scan of Audit.

Volgende week in onze blogserie: de privacy audit van Considerati.

Navid Kamalzadeh Juridisch Adviseur

Neem direct contact op

Neem contact met me op