AVG-ADVIES VOOR IT-AFDELINGEN:

IS MIJN BEDRIJF AVG-PROOF?

19 JUNI 2018 | ROBERT VISSCHER

Als bedrijf ontkom je niet aan de nieuwe Europese privacywetgeving in de vorm van de Algemene Verordening Gegevensbeheer (AVG). Het is voor de reputatie en concurrentiepositie dan ook van groot belang dat een bedrijf AVG-proof is. Welke kwesties kunnen er spelen met betrekking tot de AVG-wetgeving? Waar moet je op letten bij het oplossen van netelige kwesties en knelpunten? En met welke uitdagingen krijgen IT-afdelingen van MKB-bedrijven te maken? Wij laten het je zien.

Is de AVG een IT-ding?

Een speurtocht op het internet naar gericht AVG-advies of een gedegen rondgang door de literatuur wekt de suggestie dat het implementeren van de nieuwe privacywetgeving vooral een zaak is voor juristen, externe IT-specialisten of de IT-afdeling van een MKB-bedrijf. Het opslaan en bewerken van persoonsgegevens doe je immers toch met name in software-applicaties die via je desktop worden aangeboden door één of meerdere leveranciers? Die gedachte is niet helemaal onjuist, maar gaat wel wat te kort door de bocht.

Project voor de hele organisatie

De AVG is namelijk een aangelegenheid die qua schaal en reikwijdte het afdelingsniveau overstijgt. Van de gegevens die je verstuurt naar een grote bank of leverancier tot het papieren lijstje met suggesties dat door klanten in je ideeënbus wordt gegooid: de AVG vereist dat elk gegevensverwerkend proces bekend en geregistreerd is. Bovendien komt de kern van de AVG, het zorgvuldig verwerken en beschermen van persoonsgegevens, niet altijd voort uit IT-gerelateerde overwegingen. Het verwerken van persoonsgegevens is een keuze die meestal wordt gemaakt door het management en niet zelden wordt gedreven door marketingoverwegingen.

Daarnaast is een gemiddeld IT-project ook niet te vergelijken met het in de praktijk brengen van de AVG. Waar IT-projecten uitgaan van concrete functionaliteit, gaat het bij de AVG om tamelijk abstracte, door Europa opgestelde regels die vertaald moeten worden naar bedrijfsbeleid. En daarvoor werken de geijkte, grotendeels gestandaardiseerde projectstructuren waar IT-teams van houden vaak niet.

IT-kwesties en AVG-advies

Het bovenstaande neemt niet weg dat de IT-afdeling wel een belangrijke rol speelt bij het AVG-proof maken van een MKB-bedrijf. Tijd dus om te kijken wat de AVG betekent op informatietechnologisch gebied, om die info vervolgens te vertalen naar concreet AVG-advies voor de IT-afdeling van jouw bedrijf.

IT en uitvoerende werkzaamheden

Het is niet zo verrassend dat het leeuwendeel van de uitvoerende werkzaamheden bij het AVG-proof maken van jouw bedrijf op het bordje van de IT-afdeling belandt. Denk bijvoorbeeld aan het aanpassen van gegevensverwerkende processen en systemen of het beheren en bijstellen van back-ups, dataverzamelingen en documentmanagementsystemen. Zorg voor een duidelijk stappenplan bij het AVG-proof maken van je IT-omgeving en loop dit nauwgezet door.

Dataportabiliteit

Ook dataportabiliteit, het recht van een betrokkene (bijvoorbeeld een individuele klant of medewerker) om vastgelegde persoonsgegevens in een gestructureerde, gangbare en machine-leesbare vorm geleverd te krijgen, is een belangrijk kernpunt van de AVG. Op die manier kan de betrokkene deze gegevens namelijk ook aan een andere partij verstrekken. Dit is ook een onderdeel van de AVG waarin de IT-afdeling van een MKB-bedrijf een belangrijke rol speelt. Je kunt deze uitdaging invullen door bijvoorbeeld een directe downloadmogelijkheid aan de betrokkene aan te bieden via een klantportaal.

Data- en veiligheidslekken

Zet een register op voor lekken en omschrijf hoe je als bedrijf om wilt gaan met een beveiligingslek, security-incident of datalek. Besteed ook aandacht aan de manier waarop je deze informatie deelt met de betrokkene. Houd als IT-afdeling ook alle technische maatregelen ter bescherming van persoonsgegevens kritisch tegen het licht. Moderne cloud-technieken, zoals Office 365 met SharePoint Online, bieden volop interessante functionaliteiten die je hiervoor kunt gebruiken.

beveiliging van data

Gebruik registers

Aan de hand van door jou opgezette registers, die je bijvoorbeeld kunt maken met behulp van een SharePoint-lijst, kun je prima nagaan of bedrijfsprocessen en IT-omgevingen AVG-proof zijn. Maak allereerst een overzicht van alle applicaties die worden gebruikt voor het verwerken van persoonsgegevens. In de volgende fase ga je data duiden en classificeren. Waarom verwerk ik bepaalde gegevens (doelbinding) en mag dit wel volgens de nieuwe wetgeving (is er een wettelijke grondslag)? Vervolgens check je waar de data staan en of ze afdoende zijn beveiligd (organisatorische en technische maatregelen). Zorg altijd voor een goede balans tussen optimale beveiliging en vertrouwelijkheid. Een speciaal stakeholdersregister is een mooi handvat om de behoeften en belangen van de diverse betrokken partijen in kaart te brengen.

Wees voorzichtig met schaduw-IT

Een mailtje met vertrouwelijke documenten versturen via Gmail, bestanden opslaan in Dropbox, een bundeltje foto’s verzenden met WeTransfer of een berichtje versturen via WhatsApp: het is zo gebeurd en lijkt allemaal heel onschuldig. Toch moet je goed uitkijken met deze IT-middelen, die ook wel bekendstaan als schaduw-IT. Die naam danken de toepassingen en programma’s aan het feit dat ze niet door de de IT-afdeling van het bedrijf zijn ontwikkeld, gekeurd of in beheer zijn genomen. Het gebruik van externe applicaties is onderhevig aan de gebruiksvoorwaarden en privacy policies van de betreffende aanbieders. En die zijn soms (zeker als het om Amerikaanse bedrijven gaat) strijdig met bepaalde bepalingen uit de AVG.

Breng het daadwerkelijke gebruik van IT-middelen binnen je bedrijf dus goed in kaart. Acties zoals het opslaan van data in de cloud, het delen van een WhatsApp-berichtje of het doorsturen van een mail naar een privé-mailaccount vormen in het AVG-tijdperk niet louter een beveiligingsrisico, maar ook een serieus juridisch risico.

Conclusie

Het lijdt geen twijfel dat er een serieuze rol is weggelegd voor IT-afdelingen bij het AVG-proof maken van een MKB-bedrijf. Maar uiteindelijk is AVG-advies en het toepassen van de nieuwe wetgeving een joint effort van de gehele organisatie. Door het AVG-advies en de bijbehorende AVG-organisatie vanuit een breed kader te benaderen, kweek je kennis en bewustwording binnen het bedrijf. Die inzichten vormen uiteindelijk de basis voor processen en technieken die jouw bedrijf AVG-proof maken. Denk er wel aan dat de AVG in de praktijk continue monitoring en bijsturing vereist in de vorm van interne en/of externe audits.

AVG-advies bij IT-Councelor

Als onafhankelijke dienstverlener helpen wij je graag bij het AVG-proof maken van jouw organisatie. Hiervoor heeft IT-Councelor een aanpak ontwikkeld die zich onderscheidt door een slimme en pragmatische combinatie van specialistisch AVG-advies en zelf ontwikkelde templates en tooling.

Benieuwd naar wat wij voor jouw bedrijf kunnen beteken? Neem gerust vrijblijvend contact met ons op!

Schrijf je in voor IT Master in één Dag!

Robert VisscherDirecteur IT-Councelor Oost