First Consulting helpt netbeheerder bij AVG-compliance
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De verordening zorgt voor meer privacyrechten bij de verwerking van persoonsgegevens en meer verantwoordelijkheden voor organisaties. Zo staat in de AVG expliciet beschreven dat organisaties persoonsgegevens niet langer dan noodzakelijk mogen bewaren.
In opdracht van een regionale netbeheerder helpt First Consulting bij het inrichten van bewaartermijnen in systemen en processen en de borging hiervan in de organisatie.
Projectdoelstelling
De netbeheerder werkt steeds meer datagedreven, waardoor de hoeveelheid persoonlijke data steeds groter wordt en de risico’s toenemen. Om compliant te zijn met de AVG is een privacybeleid opgesteld, waarin een overzicht is opgenomen van categorieën persoonsgegevens en bijbehorende maximale bewaartermijnen.
De netbeheerder heeft First Consulting gevraagd om te ondersteunen bij het opstellen, inrichten en naleven van dit beleid, bestaande uit onder andere het ontwikkelen van (automatische) verwijderfunctionaliteiten in applicaties. Om een duurzame verandering te creëren wordt tevens aandacht besteed aan structurele borging binnen de organisatie.
Bovenstaande resulteert in een tweetal projectdoelstellingen:
1. Het inrichten van bewaartermijnen in systemen en processen
2. Het borgen van deze bewaartermijnen in de organisatie ten behoeve van het privacybeleid.
First Consulting werkt samen met het privacy team en andere afdelingen van de organisatie middels een gestructureerde aanpak aan bovenstaande doelstellingen.
Bepaling van verwerkingen en bijbehorende systemen met hoog risico
In de eerste fase van het project wordt de scope bepaald. Deze scope omvat alle verwerkingen en bijbehorende systemen en processen met een hoog risico. Onder een verwerking worden alle handelingen verstaan die een organisatie kan uitvoeren op persoonsgegevens, van het verzamelen tot het vernietigen van deze gegevens. De classificatie van risico’s per verwerking wordt gebaseerd op de Privacy Impact Assessments (PIA), die worden uitgevoerd door de Privacy Officers van het privacy team. Vervolgens wordt onderzocht van welke systemen en processen deze high risk-verwerkingen gebruikmaken.
Inrichting van bewaartermijnen in systemen en processen
In de tweede fase van het project vindt de inrichting plaats. Allereerst worden dataobjecten geanalyseerd en persoonsgegevens vastgesteld, waarna wordt bepaald welke technische mogelijkheden beschikbaar zijn voor een automatische inrichting van bewaartermijnen en/of welke procesaanpassingen kunnen worden toegepast. Hierbij is een afweging nodig tussen het privacy team, IT en de business.
First Consulting brengt de belangrijke stakeholders bij elkaar zodat de gekozen oplossing een balans biedt tussen privacyverplichtingen, beschikbare IT-mogelijkheden, impact op de gebruiker en de behoeften vanuit de business.
Na accordering door de verantwoordelijken van de betreffende systemen, processen en data worden automatische verwijderfunctionaliteiten ingericht en/of procesafspraken gemaakt. Hierbij vindt tevens opschoning plaats van de huidige gegevens in het systeem.
Bewustwording en training
In de derde fase van het project wordt de gehele organisatie-privacykennis bijgebracht. Op basis van een analyse wordt per bedrijfsonderdeel bepaald welke kennis aanwezig is. Vervolgens worden alle (team)managers – en op verzoek senior medewerkers – uitgenodigd voor een privacyworkshop.
Gedurende deze workshop worden (team)managers op interactieve wijze bewust gemaakt van het belang van privacy en getraind om binnen de eigen teams (1) bewustwording te creëren, (2) privacy te integreren binnen afdelingsspecifieke werkprocessen en (3) teamleden bekend te maken met de interne privacy-organisatie en -contactpersonen.
“Het is mooi om te zien hoe medewerkers bewuster en bedrevener worden in de omgang met persoonsgegevens en vervolgens samen zoeken naar passende antwoorden op al hun privacy-gerelateerde vragen.”
Daarnaast wordt voorzien in specifieke trainingen daar waar het project wijzigingen aanbrengt in huidige systemen en/of processen. Bestaande functies en rollen, zoals de Privacy Officer en de Privacy Contact Persoon, worden nauw betrokken bij het organiseren van deze workshops.
“Het is mooi om te zien hoe medewerkers bewuster en bedrevener worden in de omgang met persoonsgegevens en vervolgens samen zoeken naar passende antwoorden op al hun privacy-gerelateerde vragen”, aldus Manouk Nijhof, business consultant bij First Consulting.
Borging in de organisatie
De laatste fase van het project richt zich op de structurele borging in de organisatie. Dit betekent het opzetten van de governance – met inzicht en sturingsmogelijkheden – en integratie in processen. Tijdens het project wordt gebruikgemaakt van het ‘voordoen-meedoen-zelfdoen’ principe, waarmee stapsgewijs taken en eigenaarschap worden overgedragen aan de lijn.
Veranderingen worden succesvol ingebed door alle individuen gedurende de transformatie voor te bereiden op de verandering. Betrokkenen krijgen uitleg en training en worden ondersteund en gecoacht, zodat zij de nieuwe werkwijze uiteindelijk volledig zelfstandig kunnen uitvoeren.
Daarnaast zorgt First Consulting ervoor dat ook na afronding van het project de controle op verwijdering van data uit systemen wordt gewaarborgd en procesafspraken rondom bewaartermijnen worden nageleefd in lijn met het privacybeleid. Hiervoor worden het beleid en alle afspraken vastgelegd in het datamodel en het internal control framework van de organisatie.
Vooruitblik
Door het bieden van de juiste sturing en ondersteuning en de no-nonsense aanpak zorgt First Consulting dat de doelstellingen worden behaald voor de hoog risico-verwerkingen en -systemen. Door de nauwe samenwerking tussen First Consulting, het privacy team en de andere afdelingen binnen de netbeheerder wordt daarnaast geborgd dat de organisatie zelfstandig bewaartermijnen kan inrichten voor de overige verwerkingen en systemen.
Dit zorgt ervoor dat persoonsgegevens niet langer worden bewaard dan noodzakelijk en de netbeheerder niet langer risico loopt op het gebied van bewaartermijnen van persoonsgegevens.