Voldoen aan de AVG: maak het concreet

Uschi Braun

DE VRAAG

Voor veel bedrijven is de AVG-wetgeving een abstract onderwerp. Onze opdrachtgever heeft gevraagd om de wetgeving te vertalen naar een concrete AVG-werkwijze en hierbij de bestaande informatievoorziening, het datamanagement, autorisaties en archivering te voldoen aan de gestelde eisen van de AVG. Daarbij moeten alle medewerkers bewust zijn van de wetgeving en hun werkwijze aanpassen om AVG-compliant te werken. [/su-column][/su-columns]

ONZE AANPAK

Met onze aanpak maken wij de AVG-wetgeving voor bedrijven concreet. En daarbij bieden we de medewerkers handvatten om te – blijven – voldoen aan de wetgeving. De aanpak bestond uit een aantal fasen, namelijk: de analyse, herstelacties, implementatie en borging.

Analyse
Het projectteam is, samen met de AVG-SuperUsers van de 11 afdelingen uit de lijnorganisatie, gestart met een analyse van op alle ruim 850 verwerkingen en leveringen. Dit zijn rapportages met financiële- en managementinformatie met als doel de juiste sturing en verantwoording van gehele organisatie. Binnen deze fase werden verschillende vragen geanalyseerd. Welke gegevensbestanden worden persoonsgegevens verwerkt en is de AVG van toepassing? Welke medewerkers kunnen middels autorisaties bij deze bestanden en hoe worden de informatiedragers gearchiveerd? En welke AVG-issues komen we tegen en welke acties moeten we ondernemen om deze informatiedragers, autorisaties en archivering van data en bestanden AVG-proof te maken?

Herstelacties
Uit de analysefase bleek dat 324 verwerkingen en leveringen AVG-issues en dus risico’s bevatten. We categoriseerden de issues en stelden oplossingsrichtingen vast. Door het toepassen van Agile/Scrum methodiek en de inzet van sprintplanningen hebben we alle issues op de bestaande verwerkingen en leveringen, verdeeld over 4 afdelingen en 11 teams, opgelost.

Implementatie
In een Brown Paper sessie voorzagen we binnen alle bestaande processen de AVG-risico’s van verbetervoorstellen. Uiteindelijk stelden we een geheel nieuw AVG-werkproces met rollen en bevoegdheden op. Door het geven van implementatietraining trainden we alle 252 medewerkers in AVG-awareness en het nieuwe werkproces. Hiermee werden de medewerkers concrete handvatten geboden om in de toekomst alle nieuwe verwerkingen en leveringen te voldoen aan de AVG-wet.

Borging
Omdat de AVG niet een éénmalige actie is – maar voor altijd – is het belangrijk om blijvend de kwaliteit te toetsen. Hiervoor stelden we een compleet controlframework op waarin alle key-risks zijn vertaald naar key-controls en toetsvragen. De business controllers trainden we in het uitvoeren van de 1e en 2e lijnscontrole. In het opgemaakte controldashboard wordt de uitkomst van de controles vastgelegd en is in 1 oogopslag te zien wat de kwaliteit van werken is en waar nog verbeterslagen te maken zijn. Binnen alle teams is een AVG-SuperUser en Data Coördinator benoemd om alle medewerkers te ondersteunen bij de uitvoering van AVG en de kwaliteit te borgen.

HET RESULTAAT

Het voldoen aan de AVG-wetgeving is uiteraard een vereiste. ITDS heeft geholpen om deze wetgeving te vertalen naar concrete oplossingen en werkwijzen. De gehele informatievoorziening, het datamanagement, autorisaties en archivering van de opdrachtgever voldoen aan de AVG-wetgeving. Nieuwe processen zijn geïmplementeerd die borgen dat binnen de bestaande werkzaamheden alle activiteiten conform AVG uitgevoerd worden. Een solide basis is neergezet en daarbij zijn alle 252 medewerkers getraind in de nieuwe processen en awareness. Zo blijft de opdrachtgever ook in de toekomst AVG-proof.

Welke kansen zie je?

We maken graag een afspraak. Bel ons op 0653778749 of stuur een e-mail naar e.hoekstra@itds.nl.

Bel mij terug

Hidden
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.