Blog is geschreven door Frits Gröllers

Je kunt er niet omheen, het is bijna zover: 25 mei 2018, de dag waarop de nieuwe AVG-regeling van kracht wordt. Welke uitdaging ligt er nog in jouw organisatie? Misschien ben je al wel begonnen met de inventarisatie van de datastromen, of hebben jullie zelfs al wat processen aangepast. Maar heb je het gevoel dat je er klaar voor bent? Of is dit nou juist iets wat nooit klaar is? Persoonlijk denk ik het laatste. Gegevensverwerking en databescherming vergen een nieuwe manier van denken en werken, die past in de huidige digitale wereld. Voor veel bedrijven betekent dit ook het loslaten van oude gewoontes, die vaak nog stammen uit het papieren tijdperk.

AVG-druk

Voel je ook de druk vanuit de verschillende hoeken? Neem bijvoorbeeld LinkedIn, de AVG komt daar met enige regelmaat langs. Ik heb er veel kennis vandaan gehaald, veel adviezen gelezen en die kunnen toepassen voor mijn eigen organisatie. Want dat is wat je volgens mij moet doen: met kleine stappen beginnen vanaf de basis.

Toch blijf ik zitten met de vraag waarom er bij veel bedrijven nog zoveel onduidelijkheid heerst, ondanks de ruime hoeveelheid aan beschikbare informatie. Misschien ligt het juist wel aan die hoeveelheid, of aan de complexiteit van de materie. Ik wil je een paar tips geven om het beter behapbaar te maken.

Eindeloos vergaderen?

Hoeveel vergaderingen zijn er in jouw organisatie al geweest over de AVG en de GDPR? Hoe vaak gingen deze vergaderingen over de theorie en de (bijna letterlijke) wettekst die je op honderden websites kunt vinden? En over hoe je dit toepast binnen jouw organisatie zonder daarbij al te veel processen overhoop te halen en ook nog een werkbare situatie te blijven houden?
Geloof me, ook ik ben verzeild geraakt in deze meetings. En ja, ze waren best nuttig want het opent je ogen en het dwingt je tot ‘out of the box’ te denken. Maar voor velen is dat erg lastig. Steeds wanneer je denkt te weten met welke veranderingen je moet beginnen, doet er zich een andere situatie voor óf bedenkt iemand een nieuwe situatie die net even iets afwijkt waardoor je weer terug naar de tekentafel moet. Hoe vaak heb je dat al meegemaakt?

Keep it simple

Forque werkt voor diverse bedrijven in uiteenlopende sectoren. Deze bedrijven verwerken allemaal op een verschillende manier persoonsgegevens en geven ieder een ander antwoord op de vraag: wie is er verantwoordelijk voor welke data? Vanuit die ervaring leerde ik het volgende: keep it simple en begin met kleine veranderingen om later grote stappen te kunnen maken. Pak niet alles tegelijk aan, maar kijk eerst eens wat er binnen jouw organisatie mogelijk is en bedenk je dat dit zelfs per afdeling of per mens verschillend kan zijn. Begin met bewustwording. Betrek je mensen bij de processen en laat iedereen onderzoeken waar de verschillende informatie heen gaat of vandaan komt. Inventariseer samen met hen de stromen aan informatie en bekijk na het inventariseren welke informatie persoonsgegevens bevat. Dat is je basis, alles wat daarna komt, is slechts invullen en afdichten.

Als je toe bent aan verdieping van je analyse, kun je deze vier stappen volgen:

1. Bepaal wat je vastlegt. Dit is misschien wel de belangrijkste stap. Mocht je om wat voor reden dan ook bezoek krijgen van de Autoriteit Persoonsgegevens, dan zal de eerste vraag altijd zijn: over welk informatie hebben we het? En dan moet je direct kunnen aangeven welke informatie je hebt vastgelegd, op welke plek, voor hoe lang en wie daarbij kunnen.
2. Bepaal wat je bewaart. En als je dan wat bewaart, waar doe je dat dan en wie kunnen daar allemaal bij? Of concludeer je dat je nu teveel bewaart? Alleen die conclusie is al een stap in de juiste richting.
3. Bepaal de termijnen. Sommige termijnen zijn wettelijk vastgesteld, maar voor veel zaken kun je zelf ook bewaartermijnen bepalen. Dat houdt je tevens scherp als het gaat om bijvoorbeeld klantdata.
4. Zorg dat je kunt weggooien. Uiteraard wel binnen de grenzen, maar als je dit geregeld hebt, zijn er minder zorgen over mogelijkheden tot lekken van data. Deze week hoorde ik nog op BNR van iemand die nu nog steeds Excel-sheets van een project van 20 jaar geleden heeft, waarop een enorme hoeveelheid aan persoonsgevoelige data staat. Je moet er niet aan denken dat dit zomaar op straat komt.

Sparringpartner

Werk je met AFAS? Neem dan even de tijd om hun webinar ‘AVG’ te volgen en zie wat AFAS doet om hun software AVG-proof te maken. Daarnaast zijn er ook nog wel handelingen in jouw eigen organisatie nodig. Doorloop de vier stappen en als je alleen dát al op de juiste manier bepaalt en vastlegt, heb je alweer een goede stap gezet richting een gegevensbewuste organisatie. Heb je behoefte aan een sparringpartner over het gereedmaken van jouw organisatie voor de AVG of hoe AFAS hier op ingezet kan worden? Bel me gerust!

———————————————————————————————————————————————————————-

Frits GrollersDit blog is geschreven door:

Frits Gröllers
Senior Consultant