Drie stappen voor het vormgeven van GDPR-implementatieplannen

21 maart 2018 Consultancy.nl

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking, binnen Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG). De aandacht voor deze wet wordt steeds groter. Dat is niet vreemd aangezien het overgrote deel van de organisaties in Nederland er direct mee te maken krijgt. Bovendien kan het niet voldoen aan de GDPR in het ergste geval leiden tot boetes van €20 miljoen of 4% van de totale wereldwijde jaaromzet. 

De afgelopen maanden zijn verschillende publicaties naar buiten gebracht die de impact van GDPR op organisaties benadrukken. Beslissers worden echter zelden geïnformeerd over hoe ze de GDPR concreet kunnen toepassen en implementeren binnen hun organisatie. Het is dan ook niet verwonderlijk dat organisaties worstelen met het treffen van de voorbereidingen op deze wet.

Reden voor Stefan van Duren en Matthijs Weegink, beiden adviseurs bij L&vS Management Consulting, om een leidraad op te stellen waarmee beslissers aan de hand van drie stappen (interpretatie, inventarisatie en realisatie) hun GDPR-plannen vorm kunnen geven.

Interpretatie

De reis begint met een goede voorbereiding op dat wat er komen gaat, het kennismaken met de materie; wat is de GDPR? De wet is met twee intenties in het leven geroepen: het herstellen van vertrouwen én het bevorderen van groei. Enerzijds kadert de wet de plichten van organisaties af, anderzijds schikt ze een aantal rechten aan natuurlijke personen en toezichthoudende instanties. De eerste stap in het implementatietraject is het vertalen van deze kaders naar de concrete situatie die van toepassing is op de organisatie:

  • Welke nieuwe plichten worden mij opgelegd?
  • Welke criteria moet ik aan voldoen?
  • Welke rechten moet ik gaan faciliteren?
  • Wat vraagt de toezichthouder van mij? 

Drie stappen voor het vormgeven van GDPR-implementatieplannen

De antwoorden op deze vragen zijn cruciaal, omdat ze de basis vormen voor het vervolg van het traject. Niet iedere bepaling in de wet zal namelijk van toepassing zijn op elke organisatie. Zo krijgen instanties die persoonsgegevens verwerken bijvoorbeeld meer nieuwe plichten dan organisaties die enkel persoonsgegevens opslaan. Om onnodig werk te voorkomen en een gezamenlijk beeld te vormen van de impact van de GDPR, is het van belang om helder te krijgen waar de wet de organisatie gaat raken én waar deze dat niet doet. Dit met het oog op het informeren en creëren van bewustwording bij het personeel van het bedrijf. De menselijke factor is namelijk één van de belangrijkste aspecten in het implementeren van de GDPR.

Inventarisatie

De tweede stap richt zich op het creëren van gedetailleerd inzicht in de persoonsgegevens binnen de organisatie. Deze begint met het inventariseren van informatieobjecten en -stromen binnen de organisatie. Hieruit komt een volledig beeld tot stand van alle persoonsgegevens die door de organisatie vloeien, welke business units deze aandoen en hoe deze op hun weg worden opgeslagen en verwerkt.

Met de informatieobjecten en -stromen in kaart, kunnen deze worden geclassificeerd ten aanzien van het risico op schending van de privacywetgeving. Dit kan bijvoorbeeld gedaan worden aan de hand van de categorieën beschikbaarheid, integriteit en vertrouwelijkheid (BIV). Op basis van de risicoscores kunnen adequate operationele en technische beheersmaatregelen worden bepaald. Deze manier van identificeren van risico’s en beheersmaatregelen is feitelijk een vorm van een Data Protection Impact Assessment (DPIA). De uitkomsten van de risicoanalyse vormen de actielijst voor het implementatietraject om GDPR-compliant te worden. 

Realisatie

Vervolgens moeten de benodigde maatregelen geïmplementeerd worden. Hierbij is het van belang om rekening te houden met de opzet, het bestaan en de werking van het beheerssysteem. Allereerst dienen de beheersmaatregelen zo te worden opgezet dat zij ten dienste staan van de privacy van personen in het voldoende mitigeren van de risico’s. Vervolgens moeten deze maatregelen daadwerkelijk worden gerealiseerd en in de organisatie worden ingevoerd. 

Enkel het invoeren van beheersmaatregelen is echter niet afdoende. Periodiek zal de werking van iedere maatregel getoetst moeten worden op zijn doeltreffendheid. Daarmee is het raadzaam de eerdergenoemde DPIA niet als eenmalige oefening te beschouwen, maar als terugkerend proces. Om vervolgens telkens op basis van de uitkomsten de opzet van de beheersmaatregelen te herzien. Tot slot, tijdens GDPR-implementatietrajecten is het cruciaal om de juiste balans te vinden tussen ondernemen en beheersen van de organisatie – ‘beheerst ondernemerschap’. 

Gerelateerd: Handleiding GDPR | Algemene verordening gegevensbescherming (AVG).

Nieuws

×
A.T. Kearney Accenture ACE Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arthur D. Little AT Osborne Atos Consulting Avantage Reply B&A Bain & Company Baker Tilly Berk BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Corporate Finance Boer & Croon Management Bostec Boston Consulting Group Bright & Company | People Strategy buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Considerati Count & Cooper De Kleine Consultant Deloitte Delta Capita Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting flowresulting Front Consulting Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo innogy Consulting INNOPAY Intermedius ITDS Business Consultants JBR JBR Interim Executives Kirkman Company KplusV KPMG Kruger KWINK groep Leeuwendaal M3 Consultancy Magnitude Consulting Magnus Marktlink McKinsey & Company Mercer Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group OrangeX Ordina Oxyma p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quint Wellington Redwood Quintop Raad van Toekomst RevelX RGP Rijnconsult Roland Berger Scenter Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Supply Value Symbol Synechron Business Consulting TEN HAVE Change Management The Next Organization Turner TWST Twynstra Gudde UMS Group UniPartners UPD Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup Young Advisory Group Zestgroup