06.05.2018

In 5 stappen bewustzijn creëren voor een juiste naleving van de AVG

Vanaf 25 mei 2018 moeten organisaties voldoen aan de Algemene verordening gegevensbescherming (AVG). Veel organisaties hebben hiervoor inmiddels de juiste stappen gezet. Eenmaal AVG-compliant? Dan is bewustzijn van de huidige veranderingen en nieuwe werkwijze binnen deze nieuwe Europese privacywetgeving essentieel om dit te blijven! 

Het niet naleven van de AVG brengt grote financiële risico’s met zich mee. Een boete kan oplopen tot € 20 miljoen of 4% van de jaaromzet. Maar nog veel belangrijker: u brengt de privacy van personen in gevaar wanneer persoonsgegevens lekken. Informatiebeveiliging begint bij informatiebewustzijn.

Stappenplan van het creëren van bewustzijn

Het is voor u als functionaris voor de gegevensbescherming (FG), security officer (CISO) of projectleider dan ook van belang dat u zich bewust bent van de juiste stappen voor implementatie van de AVG en de invulling van verantwoordelijkheden (artikel 24, AVG en artikel 39, AVG). Bewustzijn is geen wettelijke verplichting maar vormt wel de randvoorwaarde voor zowel een goede implementatie als een goede naleving. Het is niet alleen een streven, maar de Autoriteit Persoonsgegevens schrijft voor dat u uw medewerkers aantoonbaar bewust moet maken.

Tip: Als u beschikt over het SafeHarbour ISMS voor zorg of ISMS voor gemeente zijn er templates en guidelines beschikbaar waarmee doelen en acties bijgehouden kunnen worden.

1. Bepaal op welke onderwerpen bewustzijn gecreëerd moet worden

Bepaal de onderwerpen die relevant zijn voor het huidige bewustzijn. Zo is het bijvoorbeeld verplicht voor sommige organisaties om een functionaris voor gegevensbescherming (FG) aan te stellen of een leidende toezichthouder in te voeren. Weten betrokkenen bijvoorbeeld van het nieuwe recht op dataportabiliteit? In de nieuwe regelgeving ligt de nadruk duidelijk op verantwoordelijkheid van organisaties. Verantwoordelijken en betrokkenen moeten dan wel weten wat er verwacht wordt. Medewerkers kunnen bovendien waardevolle input leveren bij het inventariseren van risico’s.

2. Meet het huidige bewustzijn

Meet wat de huidige houding, kennis of het draagvlak is ten aanzien van de bij punt 1 geselecteerde onderwerpen. Zijn beleidsmakers op de hoogte van nieuwe regels? Kunnen zij inschatten wat de impact van de AVG is op processen, diensten en middelen? Welke aanpassingen zijn nodig om veilig maar ook nog steeds efficiënt te kunnen werken?

3. Bepaal het gewenste effect van bewustzijn

Bepaal welk effect bewustzijn moet hebben. Wanneer managementkeuzes gemaakt moeten worden, bijvoorbeeld over de te besteden middelen, zal het management op deze elementen aangesproken moeten worden. Wanneer het doel juist is om medewerking te krijgen van afdelingshoofden zal bewustzijn aan hun praktijk aangepast moeten worden.

4. Stel een bewustwordingscampagne op en voer deze uit

Zet acties op met als doel de gewenste effecten te bereiken. Waarschijnlijk zal dit plan een combinatie van stakeholdermanagement en inhoudelijke kennisoverdracht zijn. Door middel van interactieve e-learningsmodules, privacytrainingen of phishingmails als brandoefening kan de bewustwording getoetst worden. Leg hierbij wel vast wie er aanwezig is bij de bewustwordingssessies. Om helemaal een optimaal resultaat te bereiken, helpen offline middelen zoals posters en flyers ook bij het herkennen van de risico’s op de werkvloer. Uiteraard helpen we u graag bij het lanceren van uw eigen bewustwordingscampagne.

5. Meet de resultaten van de bewustwordingscampagne

Meet de resultaten van de inspanningen en pas de plannen hierop aan. Metingen kunnen aanleiding geven voor verdieping op specifieke onderwerpen of kunnen onderdeel zijn van een langdurig bewustzijnsproject.

Advies bij de implementatie van AVG

De implementatie van de AVG vraagt veel van de beschikbare mensen en middelen. Begin er daarom op tijd mee en wees transparant over de activiteiten. SafeHarbour is specialist op o.a. het gebied van privacy en kan u adviseren bij het juist implementeren van de privacywetgeving. Neem voor meer informatie contact met ons op.

Categorie: Wetgeving

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2018

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2018

Download nu »