AVG implementatie

Minister Dekker van Rechtsbescherming laat in een brief aan de Tweede Kamer weten dat bijna een jaar na de invoering van de AVG nog veel onduidelijkheid bestaat omtrent de privacywet. Korte tijd later komt de Autoriteit Persoonsgegevens met haar jaarverslag: “2018 mijlpaal voor privacybescherming”. In deze blogserie ‘1 jaar na de AVG’ blikken we terug op het afgelopen jaar en kijken we vooruit naar de toekomst. Meer specifiek laten wij zien hoe u AVG compliant kunt worden en blijven.

Vorige week gingen wij in op het jaarverslag van de AP. Vandaag komt aan bod: de vijf fasen in de AVG implementatie: van ontkenning tot acceptatie. 

--------------------------------------------------------------------------------------------------------------------------------------------

Het afgelopen jaar hebben organisaties in heel Europa en daarbuiten veel tijd, moeite en geld gestoken in het invoeren van maatregelen om te voldoen de Algemene Verordening Gegevensbescherming. Het invoeren van die maatregelen ging niet zonder slag of stoot en de meeste organisatie doorliepen dezelfde fasen om tot acceptatie van de nieuwe realiteit te komen: namelijk dat de AVG niet meer weggaat.  In deze blog lopen wij met jullie door deze fasen en leggen wij uit wat te doen nu u weet dat de AVG een blijvertje is.  

Fase 1: Ontkenning (2012-2016)

Iedere organisatie begon met één of meer pioniers (een jurist, een IT’er of compliance officer) die de AVG al van mijlenver zagen aankomen. Deze pioniers gingen zelf op onderzoek uit en kwamen er al snel achter dat de AVG complexe wetgeving is met een dito implementatie. De pioniers luidden in de gehele organisatie de noodklok, maar kregen in veel gevallen geen gehoor. “We verwerken toch helemaal geen persoonsgegevens?” of “Privacy bestaat niet meer!”, kregen zij vaak te horen. 

Fase 2: Protest (2016-2017)

Naar mate de aandacht voor de AVG in de media toenam,  en sommige bestuurders de bui ook zagen hangen ontvingen afdelingen budget om aan de slag te gaan met de AVG. Die afdelingen verboden -vaak ten onrechte- gebruik van bepaalde systemen of het verzamelen van persoonsgegevens en gingen tegelijkertijd de hort op om collega’s te interviewen voor het register van verwerkingsactiviteiten. Het enerzijds verbieden van allerlei handelingen en anderzijds belasten van de organisatie met allerlei vragen en checklists om mogelijkerwijs nóg meer handelingen te verbieden, leidde in veel organisaties tot weerstand.

Fase 3: Paniek (2017-2018)

Een aantal maanden voor invoering van de AVG startte de Autoriteit Persoonsgegevens (AP) met een grootschalige mediacampagne over de AVG en de handhaving daarvan. De media, advocaten en consultants gingen volop mee in het circus en waarschuwden voor de torenhoge boetes die per 25 mei 2018 onherroepelijk zouden vallen. Tegelijkertijd leidde de complexe wetgeving tot veel verwarring. Partijen die überhaupt geen persoonsgegevens verwerkten kregen verwerkersovereenkomsten voorgeschoteld, persoonsgegevens mochten ineens alleen nog maar op grond van toestemming worden verwerkt en iedereen moest per email bevestigen nog steeds klant te zijn. En dat alles terwijl de Autoriteit Persoonsgegevens klaar stond om binnen te vallen. En dat laatste mocht echt niet gebeuren, want het project “AVG-implementatie” bleek toch iets meer tijd te kosten dan de geplande twee maanden.

Fase 4: Realiteitszin (2018)

Na alle overtrokken reacties en onjuiste uitspraken komen de meeste organisaties richting mei 2018 tot een soort realiteitszin: we gaan het niet halen. Het implementatieproject werd over zomer hen getild, waarna de werkzaamheden overgingen naar de lijn, de privacy officers en de FG.

Fase 5: en nu? (2019 en verder)

De meeste implementatietrajecten zijn ten einde gekomen en ‘de lijn’ heeft de privacy werkzaamheden al dan niet overgenomen. De vraag die nu veel wordt gesteld is: hoe succesvol is ons implementatieproject geweest? 

Veel organisaties weten niet of zij voldoen aan alle regels en hoe zij het doen ten opzichte van vergelijkbare organisaties binnen hun branche. De minister wijst daarbij op de mogelijkheid tot AVG-certificering en het opstellen van gedragscodes binnen een branche, maar die zijn er  nu nog niet. 

De eerste stap in het beantwoorden van de vraag waar je staat is kijken wat de AVG implementatie heeft verandert en hoeveel er van deze verandering van blijvende aard is geweest? Om hier zicht op te krijgen moet u de volledigheid en volwassenheid van uw privacy programma periodiek toetsen. Dit kunt u doen door uw organisatie naast een een AVG normenkader te houden waarin ook rekening wordt gehouden met de compliance volwassenheid (maturity) van de organisatie. 

Considerati heeft daarvoor een geheel eigen AVG Compliance en Maturity normenkader ontwikkeld, gebaseerd op internationale standaarden en best practices uit meer dan 10 jaar privacy advisering. Zo kunnen wij binnen uw organisatie met een Maturity Scan en een audit de mate van compliance en het vermogen om compliant te blijven meten. 

Lees meer over ons privacy compliance normenkader, maturity scan en audit in onze volgende blog!

Voorbeeld van ons Maturity Model