APPLY & COMPLY: Implementatie Algemene Verordening Gegevensbescherming

Door: Stijn Sarneel, Managing Director Lumen Group, leestijd blog: 5 mins

In onze praktijk komen wij veel vragen tegen over de échte toepassing van de EU GDPR / AVG. Logisch, want op 25 mei 2018 moet dit zijn ingeregeld als deze nieuwe Europese verordening daadwerkelijk van toepassing is. Dat lijkt ver weg, en als voor een structurele aanpak wordt gekozen, kost dit dan ook (doorloop)tijd. Uit onze rijke implementatie-ervaring weten wij dat voldoen aan de wet meer is dan alleen de eisen in kaart brengen en een ‘hoog over’ beeld hebben van de situatie.

Hieronder beschrijven wij onze aanpak die ons ondersteunt om onze klanten aantoonbaar en structureel te laten voldoen aan de regels. Dit gaat over de as van ‘learn > apply > comply’.

Accountability in EU GDPR

Een van de leidende beginselen van de nieuwe EU Verordening voor Privacy en Data Protectie (Algemene Verordening Gegevensbescherming ook wel EU GDPR) is accountability (art. 5 GDPR). Ofwel; verantwoording kunnen afleggen aan de buitenwereld over het handelen van een organisatie hoe wordt omgegaan met persoonlijke data van personen (o.a. klanten en burgers). Voor veel organisaties en bedrijven is dit komende tijd een uitdaging dit in te regelen en dit meteen op structurele wijze te doen.

Natuurlijke reflex naar korte termijn oplossing

Om aan dit vereiste van accountability invulling te geven hebben velen van ons een natuurlijk reflex om te gaan ‘vinken’ en in dossiers per wetsartikel vast te leggen dat ze voldoen aan de wet. Stempel erop en klaar! We zijn ‘compliant’. Echter, het is de vraag of dit organisaties verder brengt. Bij een korte termijn aanpak komen onmiskenbaar de echte vragen van de business pas later over hoe de regels écht gelezen en toegepast moeten worden. Ons inziens leidt een dergelijke benadering tot dubbel werk. Er lijkt dan geen sprake van een lerende organisatie.

Voldoen aan deze AVG / privacywet is niet iets eenmaligs (bv. zoals de computer – millennium 2000 problematiek), maar vraagt ook daarna voortdurende aandacht in de bedrijfsvoering om compliant te blijven.

Structurele aanpak is vereist

Juist omdat de GDPR diep ingrijpt in processen, systemen en werkwijzen zal dit ook na 25 mei 2018 dit een thema blijven. De organisatie en de maatschappij beweegt voort en aanpassingen van producten, processen en systemen vinden bij organisaties vaak op dagbasis plaats. Steeds zal dan ook de vraag opkomen of de wijziging compliant is binnen de EU GDPR. Om hier zo goed mogelijk op voorbereid te zijn is vooraf een structurele implementatieaanpak vereist. Vanaf dit moment worden zo veel mogelijk de eisen van de GDPR in de bedrijfsvoering meegenomen. Dit heet ‘privacy by design‘ en is zelfs een vereiste vanuit de GDPR. Hoe eerder men begint, hoe beter men dit dus voor elkaar krijgt.

Wat vaak vergeten wordt is dat achter deze regels een gedachte zit die bij een korte termijn aanpak gemist wordt. Dit is namelijk de bescherming van klanten en burgers tegen bijvoorbeeld niet integer gebruik van persoonlijke data en voorkomen dat persoonlijke data op straat komen te liggen. De gedachte achter de regel beschouwen, binnen de context van de eigen organisatie, levert pas echt de echte inzichten op die ons verder brengen.

Door deze aantoonbaarheid en accountability niet te beschouwen als doel op zich, maar meer als sluitstuk van een proces van een totale – op de medewerker en klant gerichte – implementatie, zal uiteindelijk veel tijd en energie worden gewonnen. Een voorbeeld is om niet slechts een privacy beleid op te stellen waarin keurig op papier aan alle regeltjes wordt voldaan. Juist het samen ‘doorleven’ van de regels en het bepalen van de impact is waarde-toevoegend. Het sluitstuk van de reis is dan vervolgens een kort en concreet beleid dat daadwerkelijk gedragen en toegepast wordt.

Samen leren

Hoe pak je dat dan aan? Uit ervaring weten wij dat dit vooral lukt door met medewerkers te overleggen, risico’s te beoordelen en te bezien welke impact de regels mogelijk hebben op de bedrijfsvoering. Dus kijken wat op de werkvloer gebeurt met persoonlijke data en met elkaar beschouwen waar de kansen en risico’s zitten en hoe die worden beheerst. Op deze manier leren (‘learn‘) van elkaars expertise en dit samenbrengen. Uiteraard moeten nieuwe maatregelen en beleid tijdens het opstellen daarvan goed met alle interne stakeholders afgestemd worden. Immers, zij moeten ermee werken! Deze aanpak voorkomt dat beleid op de plank komt te liggen.

Een doeltreffende aanpak is vervolgens de overige medewerkers en het management binnen de organisatie bewust te maken door middel van presentaties en awareness sessies van deze gesignaleerde kansen en risico’s. Vragen die zich uit de praktijk voordoen worden direct beantwoord en de regels worden toegepast binnen de context van het bedrijf door de medewerkers die dagelijks met persoonlijke data werken (‘apply’).

Voor deze aanpak is wel durf en doorzettingsvermogen nodig. Durf; omdat er op vertrouwd moet worden met deze aanpak toezichthouders overtuigd worden. Doorzettingsvermogen; omdat het tijd kost om over te gaan van de korte termijn accountability (vinken – instrumentele aanpak) naar een structurele aanpak (doeltreffend – vertrouwen – op klanten gericht).

Toezichthouder 

Uiteraard wordt er ook met deze aanpak niet aan ontkomen om op regelmatige wijze te monitoren en te controleren. Dat is goed, van bevindingen kan men ook leren. Toezichthouders zoals de Autoriteit Persoonsgegevens en auditors moeten immers ook overtuigd worden door middel van aantoonbare evidence. Als medewerkers goed op de hoogte zijn van de regels, en ook zelf ertoe zijn aangezet om hierover na te denken en dit te bespreken met elkaar, zal er vaak ook minder intensief intern toezicht hoeven worden te gehouden.

Het bewijs van compliance is rechtstreeks op de werkvloer te ervaren. Een externe toezichthouder (bv. de Autoriteit Persoonsgegevens) moet dan van hele goeden huize komen als hij alsnog zware bevindingen heeft en tot boete-oplegging overgaat. Dubbel werk en veel controles worden zo voorkomen en er kan op worden vertrouwd dat medewerkers het goede doen.

Kortom; om echt te voldoen (comply), doorloop dan eerst het samen leren (learn) en pas toe (apply).