First Consulting helpt netbeheerder bij AVG-compliance

03 april 2020 Consultancy.nl

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De verordening zorgt voor meer privacyrechten bij de verwerking van persoonsgegevens en meer verantwoordelijkheden voor organisaties. Zo staat in de AVG expliciet beschreven dat organisaties persoonsgegevens niet langer dan noodzakelijk mogen bewaren.

In opdracht van een regionale netbeheerder helpt First Consulting bij het inrichten van bewaartermijnen in systemen en processen en de borging hiervan in de organisatie.

Projectdoelstelling

De netbeheerder werkt steeds meer datagedreven, waardoor de hoeveelheid persoonlijke data steeds groter wordt en de risico’s toenemen. Om compliant te zijn met de AVG is een privacybeleid opgesteld, waarin een overzicht is opgenomen van categorieën persoonsgegevens en bijbehorende maximale bewaartermijnen.

De netbeheerder heeft First Consulting gevraagd om te ondersteunen bij het opstellen, inrichten en naleven van dit beleid, bestaande uit onder andere het ontwikkelen van (automatische) verwijderfunctionaliteiten in applicaties. Om een duurzame verandering te creëren wordt tevens aandacht besteed aan structurele borging binnen de organisatie.

Bovenstaande resulteert in een tweetal projectdoelstellingen:

1. Het inrichten van bewaartermijnen in systemen en processen

2. Het borgen van deze bewaartermijnen in de organisatie ten behoeve van het privacybeleid.

First Consulting werkt samen met het privacy team en andere afdelingen van de organisatie middels een gestructureerde aanpak aan bovenstaande doelstellingen. 

First Consulting helpt netbeheerder bij AVG-compliance

Bepaling van verwerkingen en bijbehorende systemen met hoog risico
In de eerste fase van het project wordt de scope bepaald. Deze scope omvat alle verwerkingen en bijbehorende systemen en processen met een hoog risico. Onder een verwerking worden alle handelingen verstaan die een organisatie kan uitvoeren op persoonsgegevens, van het verzamelen tot het vernietigen van deze gegevens. De classificatie van risico’s per verwerking wordt gebaseerd op de Privacy Impact Assessments (PIA), die worden uitgevoerd door de Privacy Officers van het privacy team. Vervolgens wordt onderzocht van welke systemen en processen deze high risk-verwerkingen gebruikmaken.

Inrichting van bewaartermijnen in systemen en processen
In de tweede fase van het project vindt de inrichting plaats. Allereerst worden dataobjecten geanalyseerd en persoonsgegevens vastgesteld, waarna wordt bepaald welke technische mogelijkheden beschikbaar zijn voor een automatische inrichting van bewaartermijnen en/of welke procesaanpassingen kunnen worden toegepast. Hierbij is een afweging nodig tussen het privacy team, IT en de business.

First Consulting brengt de belangrijke stakeholders bij elkaar zodat de gekozen oplossing een balans biedt tussen privacyverplichtingen, beschikbare IT-mogelijkheden, impact op de gebruiker en de behoeften vanuit de business.

Na accordering door de verantwoordelijken van de betreffende systemen, processen en data worden automatische verwijderfunctionaliteiten ingericht en/of procesafspraken gemaakt. Hierbij vindt tevens opschoning plaats van de huidige gegevens in het systeem.

Bewustwording en training
In de derde fase van het project wordt de gehele organisatie-privacykennis bijgebracht. Op basis van een analyse wordt per bedrijfsonderdeel bepaald welke kennis aanwezig is. Vervolgens worden alle (team)managers – en op verzoek senior medewerkers – uitgenodigd voor een privacyworkshop.

Gedurende deze workshop worden (team)managers op interactieve wijze bewust gemaakt van het belang van privacy en getraind om binnen de eigen teams (1) bewustwording te creëren, (2) privacy te integreren binnen afdelingsspecifieke werkprocessen en (3) teamleden bekend te maken met de interne privacy-organisatie en -contactpersonen.

“Het is mooi om te zien hoe medewerkers bewuster en bedrevener worden in de omgang met persoonsgegevens en vervolgens samen zoeken naar passende antwoorden op al hun privacy-gerelateerde vragen.”

Daarnaast wordt voorzien in specifieke trainingen daar waar het project wijzigingen aanbrengt in huidige systemen en/of processen. Bestaande functies en rollen, zoals de Privacy Officer en de Privacy Contact Persoon, worden nauw betrokken bij het organiseren van deze workshops.

“Het is mooi om te zien hoe medewerkers bewuster en bedrevener worden in de omgang met persoonsgegevens en vervolgens samen zoeken naar passende antwoorden op al hun privacy-gerelateerde vragen”, aldus Manouk Nijhof, business consultant bij First Consulting.

Borging in de organisatie
De laatste fase van het project richt zich op de structurele borging in de organisatie. Dit betekent het opzetten van de governance – met inzicht en sturingsmogelijkheden – en integratie in processen. Tijdens het project wordt gebruikgemaakt van het ‘voordoen-meedoen-zelfdoen’ principe, waarmee stapsgewijs taken en eigenaarschap worden overgedragen aan de lijn.

Veranderingen worden succesvol ingebed door alle individuen gedurende de transformatie voor te bereiden op de verandering. Betrokkenen krijgen uitleg en training en worden ondersteund en gecoacht, zodat zij de nieuwe werkwijze uiteindelijk volledig zelfstandig kunnen uitvoeren.

Daarnaast zorgt First Consulting ervoor dat ook na afronding van het project de controle op verwijdering van data uit systemen wordt gewaarborgd en procesafspraken rondom bewaartermijnen worden nageleefd in lijn met het privacybeleid. Hiervoor worden het beleid en alle afspraken vastgelegd in het datamodel en het internal control framework van de organisatie.

Vooruitblik

Door het bieden van de juiste sturing en ondersteuning en de no-nonsense aanpak zorgt First Consulting dat de doelstellingen worden behaald voor de hoog risico-verwerkingen en -systemen. Door de nauwe samenwerking tussen First Consulting, het privacy team en de andere afdelingen binnen de netbeheerder wordt daarnaast geborgd dat de organisatie zelfstandig bewaartermijnen kan inrichten voor de overige verwerkingen en systemen.

Dit zorgt ervoor dat persoonsgegevens niet langer worden bewaard dan noodzakelijk en de netbeheerder niet langer risico loopt op het gebied van bewaartermijnen van persoonsgegevens.


×
×
Accenture ACE Company Adaptif Adlasz Adviesgroep Novius AevesBenefit Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting Bain & Company Baker Tilly BDO BearingPoint Berenschot Best Value Group Bewegin Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management BOLD Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Cegeka Consulting Cmotions COMATCH Conclusion Count & Cooper CPMview De Issuemakers De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting Eurekon EY EY-Parthenon Finext First Consulting Flowant flowresulting Fronteer FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hogenhouck m&a Hospitality Group Hot ITem House of Performance IG&H Improven innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kearney Kirkman Company Korn Ferry KplusV KPMG Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group NEWCRAFT Node1 Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy People Change PNO Consultants Projective Protiviti Proven Partners Prowareness PwC Quint Quintop Raad van Toekomst RedFoxBlue ResidentieProfs RGP Rijnconsult Riverwise Roland Berger Salvéos Schaekel & Partners SeederDeBoer Sia Partners Significant Groep Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Staffing MS Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Volt Strategy Voogt Pijl & Partners Wielinq WIN Xebia Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup