Accountability kan zorgen voor grip op (persoons)gegevens en goed datamanagement organisatiebreed
Bij de Autoriteit Persoonsgegevens (AP) komen veel vragen over hoe organisaties in de praktijk aan de AVG moeten voldoen. De AVG zelf geeft hier maar beperkt antwoord op en de open normen zorgen in de praktijk voor onzekerheid, diverse interpretaties en passiviteit. Hoe ga je als organisatie goed met persoonsgegevens om? Het antwoord is: door zelf invulling te geven aan ‘accountability’. Oftewel, zorg ervoor dat dataflows in de organisatie in beeld zijn en stel een ‘programma’ en procedures op waarmee je als organisatie de principes uit de AVG implementeert en zorgt dat betrokkenen hun rechten uit de AVG kunnen uitoefenen. De AVG vraagt niet voor niets om technische en organisatorische maatregelen om te voldoen aan de AVG. Vaak komt hier een combinatie van een risk-based compliance-programma en SOP’s uit voort. Met alleen een privacy policy en een eenmalig opgesteld verwerkingenregister kom je er dus niet.
Het is belangrijk om de juridische eisen uit de AVG te vertalen naar procedures en toezicht binnen de organisatie en nieuwe maatregelen in te voeren als dit nodig is. Hiermee wordt accountability met betrekking tot de AVG onderdeel van intern change management. De AP schrijft niet voor hoe de AVG nageleefd moet worden, maar laat dit bewust aan organisaties zelf over, in lijn met de AVG en met de gedachte dat organisaties zelf het beste zicht hebben op de data die ze verwerken. Maar ik wil wel een paar voorbeelden geven die we in de praktijk zien.
- training & awareness over beveiliging, risico’s, wetgeving
- audit programma en plannen van verbeteracties
- goede rapportage van datalekken en daar lering uit trekken
In een wereld waarin steeds meer digitaal gewerkt (moet) worden is een goede datahuishouding cruciaal. Dit wordt niet alleen gevraagd door de AP en door kritische betrokkenen, maar ook in meerdere mate door investeerders en aandeelhouders.
Sofie van der Meulen, Senior Supervision Officer bij Autoriteit Persoonsgegevens
Webinar ‘Bewust omgaan met persoonlijke data in het lab’
Donderdag 1 oktober 2020 van 14.00 uur tot 15.00 uur