Onze diensten

Risicomanagement als basis voor AVG compliancy

Datum: 24-11-2017

Nieuwe privacywetgeving

Per 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Door de AVG krijgen natuurlijke personen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Privacyrechten worden versterkt en uitgebreid. Betrokkenen van wie persoonsgegevens worden verwerkt kunnen zich gaan beroepen op rechten zoals het recht om hun gegevens in te zien, aan te passen en te laten verwijderen. Organisaties zijn verplicht hier op te reageren. Wanneer dit tot geschillen leidt, kunnen betrokkenen bij de Autoriteit Persoonsgegevens (AP) een klacht indienen of zelfs via de rechter een zaak aanspannen.

Wat gaat er voor organisaties veranderen?

Zodra de AVG van kracht is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. De nadruk wordt gelegd op de verantwoordelijkheid van organisaties zelf om gedocumenteerd aan te tonen dat zij zich aan de wet houden (accountability). Organisaties mogen daarnaast alleen persoonsgegevens verwerken als er een gegronde reden is dit te doen en als dit voor een specifiek doel gebeurt. Het is verboden om deze gegevens zondermeer voor een ander doel te gebruiken. Tevens moeten organisaties de persoonsgegevens adequaat beschermen door het treffen van technische en organisatorische (beveiligings-)maatregelen. De AVG stelt dat organisaties deze stappen, het invoeren van privacymanagement, op een risicogebaseerde manier dienen aan te pakken. Dat is een vak apart en vraagt om deskundigheid.

Certificering

Organisaties worden gestimuleerd om een certificering op het gebied van privacymanagement en informatiebeveiliging te behalen. QSN helpt organisaties bij behalen van certificeringen voor informatieveiligheid, zoals ISO 27001 en NEN 7510, waarbij vertrouwelijkheid van informatie als kernthema terugkomt in de norm. Certificering biedt bij uitstek een antwoord op en invulling van de plicht om adequate beveiliging van de persoonsgegevens door te voeren. Certificering in privacymanagement biedt evenzo een krachtige basis voor de verantwoordingsplicht die geldt voor iedere organisatie die persoonsgegevens verwerkt. Een (gecertificeerd) managementsysteem helpt bij het aantoonbaar maken van de technische en organisatorische maatregelen die een organisatie moet inzetten om aan de AVG te kunnen voldoen. Het managementsysteem helpt om inzicht te krijgen in de risico’s en in de kansen op het gebied van informatieveiligheid. Zodoende kan de organisatie beter inspelen op het belang om persoonsgegevens te beschermen.

Risicogebaseerd denken

De wereld van normeringen en certificeringen is de aflopen jaren fors aan het veranderen. Vanuit een wereld waarin voorgeschreven werd hoe processen gedefinieerd moeten worden naar een wereld waarin op basis van kansen en risico’s gekeken wordt naar de specifieke behoeftes van een organisatie in het kader van processen en maatregelen. Van een cultuur met ‘checks and balances’ naar een methodiek waarin men vanuit de doelen van de organisatie de relevante kansen en risico’s identificeert, evalueert en mitigeert. Risicogebaseerd denken en werken vormt de basis voor informatiebeveiliging en wordt nu ook in de AVG erkend als fundamenteel voor een effectief privacymanagement. Volgens QSN wordt het uitgangspunt steeds meer de daadwerkelijke bedrijfssturing, en het onderwerp risicomanagement speelt hier een steeds prominentere rol in.

Risicomanagement leidt tot groei

QSN ziet risicomanagement als een structureel onderdeel van de dagelijkse bedrijfssturing waarbij er op basis van de context en strategie van de organisatie de relevante doelen en risico’s geïdentificeerd en de benodigde maatregelen voor geïmplementeerd worden. Belangrijk uitgangspunt is dat er een cultuur binnen de organisatie heerst dan wel gecreëerd wordt waarin men alert is op risico’s en hierop kan, mag en durft te handelen. Het draait dus om vertrouwen, eigenaarschap (van doel en risico), kennis, kunde en competenties en continu verbeteren. De link naar effectief privacymanagement is hier duidelijk herkenbaar. Juist door vanuit risico’s en kansen over privacy te redeneren, door eigenaarschap te nemen over privacyrisico’s en door in openheid en helder privacybewustzijn te handelen in de dagelijkse praktijk waar met persoonsgegevens wordt gewerkt, staat een organisatie sterk in haar privacybestendigheid.

Concrete hulp nodig voor jouw organisatie?

Wil je ondersteund worden bij het opzetten van een effectief privacy management systeem, waarbij risicogebaseerd werken de basis vormt? Onze consultants helpen graag! QSN kan vanuit haar kernfocus op risicomanagement organisaties bij uitstek begeleiden bij het inventariseren van kansen en risico’s en het definiëren van passende beheersmaatregelen. QSN gelooft en ademt een pragmatische instelling en zorgt bovendien voor een korte doorlooptijd.

Neem contact op via 0252 – 547 000 of info@qsn.nl.

Meer weten?

Nieuwsgierig geworden naar wat jouw organisatie te wachten staat bij de invoering van de AVG? Download dan onze whitepaper over de AVG. Lees ook de blog over risicomanagement, waarin uiteengezet wordt hoe een organisatie risico’s op een integrale en gestructureerde wijze kan inzetten om te kunnen groeien.

AVG compliancy