SafeHarbour-Case-in-4-stappen-naar-goed-georganiseerd-privacymanagement
29.03.2018

Case: Georganiseerd privacymanagement in 4 stappen

Help de FG met een overzichtelijk Privacy Management Systeem!

Toen ik als Privacy Officer werd aangesteld bij een middelgrote organisatie zag ik dat veel zaken gelukkig al op orde waren door een eerder Wbp project. Er was een privacybeleid, processen en procedures waren beschreven en medewerkers waren op de hoogte van de AVG door trainingen in awareness. Bovendien had de organisatie alle informatie ontsloten via Sharepoint en een beginnend FG aangesteld. Een goed begin, maar om aan de AVG te voldoen was nog veel werk te verzetten.

De eerste uitdaging was om de omslag te maken van Wbp naar AVG. Al het beleid, documenten en processen moesten doorgenomen en aangepast worden naar de AVG. Een enorme klus. De tweede uitdaging was het beheer van documenten beter in te richten om sneller verbeteringen te kunnen doorvoeren. De stroom guidelines van de artikel 29 werkgroep, stukken van de Autoriteit Persoonsgegevens en de Uitvoeringswet AVG maakten duidelijk dat documenten sneller aangepast moeten kunnen worden. Ook kwamen afdelingen steeds vaker met verbeteringen.

“Ik stond voor de opgave dit privacymanagement te organiseren en te voorkomen dat beleid en processen verouderd raakten, Martijn van der Veen, Privacy Officer.”

De rol van Privacy Officer is uitdagend en leuk, maar kan ook een flinke klus zijn. De uitdaging is om je aandacht op de juiste zaken te richten. Zonder fulltime privacyteam moet je de beschikbare middelen efficiënt inzetten! Wie ook voor deze uitdaging staat zal mijn wensenlijstje herkennen:

  • Het beleid en alle documenten zijn eenvoudig te beheren.
  • Alle medewerkers hebben toegang tot informatie en kunnen actief bijdragen aan de kwaliteit van de informatie.
  • Er is een privacyteam met medewerkers uit alle relevante organisatiedelen.
  • Er is tweedelijns ondersteuning die wettelijke ontwikkelingen bijhoudt.

Ook interessant: Timeline 2018 – Alle Privacy, Security & Auditing deadlines »

Gemakkelijke implementatie dankzij het Privacy Management Systeem

Voor deze opdracht maakten we gebruik van het Privacy Management Systeem (PMS) van SafeHarbour. Het PMS voldoet aan al mijn eerdergenoemde wensen en maakt het beheren van het beleid en alle onderliggende documenten eenvoudig. Het geeft structuur, ondersteunt de PDCA cyclus en bevat content die regelmatig wordt aangepast.
Om het PMS op de organisatie aan te laten sluiten hoefden we maar 4 stappen te doorlopen.

1. Inladen en overzetten binnen één dagdeel

Het eerste wat we deden was het inladen en overzetten van alle relevante documenten naar het PMS. Daar viel het huidige beleid onder, bestaande processen, documentatie van sharepoint en stukken van de website zoals het privacystatement. Daarmee hadden we in één dagdeel alle informatie op één plek. Vanaf nu kunnen deze integraal beheerd worden. Door alle documenten onder één dak te brengen heb je overzicht en kan je documenten met elkaar in verband brengen.

2. Zoeken, vervangen, plooien strijken in één dag

Om de documenten op de AVG aan te passen hebben we binnen het PMS een aantal zoekopdrachten uitgevoerd. Alle verwijzingen naar de Wbp en terminologie is aangepast. We hebben hyperlinks aangebracht op de plekken waar documenten naar elkaar verwijzen. Tot slot hebben we een groot aantal dubbelingen en verwijzingen naar verouderde documenten weggehaald. Al met al kostte dit een dag werk en konden we aan het einde van de middag genieten van een volledig en opgeschoond PMS.

3. Aanpassen van processen

Met alleen het aanpassen van termen ben je er nog niet. Beleid en processen moeten herbeoordeeld worden. Soms was dat eenvoudig. Processen die meer aandacht nodig hadden zijn in een project opgenomen. Het privacyteam beoordeelde de documenten en kreeg de verantwoordelijkheid documenten aan te passen in het PMS. Hiervoor dienden ze wijzigingsvoorstellen in die in het PMS eenvoudig beheerd kunnen worden. In een aantal gevallen was aanvullende besluitvorming nodig.

4. Up-to-date blijven

Al tijdens het project keken we naar de tijd ná de projectfase. De organisatie moet op eigen benen staan en het privacybeleid zelf beheren. Met de inzet van het PMS ontvangt de FG vanuit het abonnement met SafeHarbour periodiek wijzigingen aan de hand van nieuwe wetgeving, best practices of nieuwe guidelines. In plaats van dit zelf bij te houden hoeft de organisatie de aanpassingen alleen maar te bespreken, te verwerken en op te nemen in de documentatie.

Door het gebruik van het PMS houdt de organisatie alle wijzigingen makkelijk bij. Alle documenten en het beleid zijn hierdoor up-to-date. Zo houdt de FG meer tijd voor zijn ‘echte’ FG taken.

Meer over het Privacy Management Systeem »

Categorie: Nieuws

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2018

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2018

Download nu »