Het is inmiddels alweer 5 jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Vanaf dat moment moest deze Europese wetgeving eigenlijk al volledig geïmplementeerd zijn binnen organisaties. Echter, in de praktijk bleek dat veel organisaties op dat moment pas aan het prille begin stonden van de implementatie van de AVG.
In de afgelopen 5 jaar is er veel gebeurd. Daarom is het logisch dat er op dit moment meer verwacht mag worden van organisaties op het gebied van de AVG. Oftewel: het volwassenheidsniveau van een organisatie of instelling op het gebied van privacy moet inmiddels echt naar een hoger niveau zijn gebracht. Een AVG volwassenheidsmeting brengt in kaart waar een organisatie staat ten aanzien van het voldoen aan de AVG. Daarnaast heeft het uitvoeren van een AVG volwassenheidsmeting nog meer voordelen!
Bij de introductie van de AVG ontstond bij veel organisaties een gevoel van: waar moeten we in vredesnaam beginnen? Veel organisaties hebben inmiddels al wel wat stappen gezet, maar niet altijd aan de hand van een vooraf concreet vastgesteld plan en doel. Ook kan het als organisatie lastig zijn om te bepalen welk volwassenheidsniveau je binnen welke tijdspanne zou moeten nastreven. Dit is namelijk verschillend voor iedere organisatie en onder andere afhankelijk van het soort organisatie en het huidige volwassenheidsniveau. Een AVG volwassenheidsmeting kan daarbij helpen. Het geeft inzicht waar je als organisatie op dit moment al heel goed mee bezig bent en waar nog aandachtspunten liggen. Op basis van de resultaten uit de volwassenheidsmeting kan een plan van aanpak worden opgesteld. Een volwassenheidsmeting is dus een mooi startpunt om jouw organisatie veder te brengen op het gebied van AVG en privacy.
Maar hoe zit het als de organisatie al een ambitieniveau heeft vastgesteld en zelf verschillende acties heeft uitgevoerd om naar dit niveau toe te werken? Ook dan is een AVG volwassenheidsmeting interessant. Een volwassenheidsmeting laat zien in hoeverre de organisatie het vastgestelde ambitieniveau heeft bereikt en welke concrete stappen er nog gezet kunnen worden. Daarnaast kunnen de resultaten van de meting aanleiding zijn om jouw ambitieniveau of het vastgestelde tijdspad bij te stellen.
Een AVG volwassenheidsmeting kan verschillende resultaten opleveren. Je kan er bijvoorbeeld voor kiezen om een algemeen beeld van jouw organisatie te laten schetsen op de basisbeginselen van de AVG. Maar inzicht in de specifieke resultaten van uitgevoerde acties, behoort ook tot de mogelijkheden. Daarnaast kan er onderscheid gemaakt worden in een meting organisatie breed of enkel voor een specifieke afdeling. Wil je een goed objectief beeld van waar jouw organisatie staat? Dan is het raadzaam om de AVG volwassenheidsmeting uit te laten voeren door een externe partij.
Privacy is een dynamisch vakgebied dat volop in ontwikkeling is. Daardoor wil er nog wel eens iets veranderen. Denk bijvoorbeeld aan rechtspraak of adviezen van de Autoriteit Persoonsgegevens (AP), andere Europese toezichthouders of de European Data Protection Board (EDPB). Dit kan een nieuwe kijk op bepaalde onderwerpen geven. Een goed voorbeeld zijn de adviezen van het EDPB over inzageverzoeken, waarbij vrij gedetailleerd werd ingegaan op de vraag hoe er met dergelijke verzoeken om zou moeten worden gegaan. Als organisatie moet je op de hoogte zijn de ontwikkelingen en wijzigingen met betrekking tot de AVG en deze ook implementeren in de organisatie.
Al deze ontwikkelingen bijhouden en ook nog eens praktisch vertalen naar jouw organisatie is een hele klus. Bij het uitvoeren van een AVG volwassenheidsmeting door Cuccibu worden de inzichten die op dat moment gelden meegenomen. Daarnaast geven we je tips over eventuele verbeteringen die je naar aanleiding daarvan zou kunnen uitvoeren. Ook wordt het verwachtingspatroon van bijvoorbeeld de Autoriteit Persoonsgegevens (AP) en betrokkenen (personen wiens persoonsgegevens worden verwerkt) meegenomen tijdens de volwassenheidsmeting. Het verwachtingspatroon kan namelijk ook veranderen in de loop der tijd.
Het periodiek (laten) uitvoeren van een AVG volwassenheidsmeting helpt bij het afleggen van verantwoording aan de AP. Door middel van een volwassenheidsmeting toon je aan dat je de borging van privacy binnen jouw organisatie serieus neemt. Vooral als je de gevonden tekortkomingen ook actief aanpakt. De uitkomsten van een volwassenheidsmeting staan in een rapportage, dat helpt natuurlijk bij het concreet maken van de verantwoording.
Naast verantwoording ten behoeve van de AP helpt een volwassenheidsmeting ook bij het afleggen van interne verantwoording. Het bestuur (in welke vorm deze in jouw organisatie ook is ingericht) zal eens in de zoveel tijd inzicht moeten krijgen in hoe de organisatie er op het gebied van privacy voor staat. Deze informatie geeft het bestuur richting bij het maken van de juiste keuzes, bijvoorbeeld wanneer zij benodigde investeringen om privacy naar een hoger niveau te tillen, goed moeten keuren.
Als organisatie kan je er voor kiezen om de resultaten van een AVG volwassenheidsmeting te publiceren. Als je besluit om dit te doen, creëer je transparantie over waar je als organisatie staat en laat je zien dat je het onderwerp privacy serieus neemt. Dit kan vertrouwen geven voor betrokkenen. Daarnaast kan het voor commerciële organisaties wellicht nieuwe kansen bieden. Uiteraard is het hierbij wel verstandig om, bijvoorbeeld samen met de afdeling Communicatie van jouw organisatie, te kijken op welke manier deze transparantie het beste ingekleed kan worden.
Uiteindelijk zijn de medewerkers, die daadwerkelijk met persoonsgegevens omgaan, degene die de borging van privacy binnen een organisatie kunnen maken of breken. Door het delen van de resultaten van een AVG volwassenheidsmeting, uiteraard in gepaste vorm, creëer je bewustwording over dit onderwerp bij de medewerkers. Het is voor medewerkers fijn om te weten wat ze al goed doen, maar ook wat ze eventueel nog kunnen verbeteren. Voor veel medewerkers is privacy niet hun expertise en inzicht en ondersteuning op dit gebied kan veel betekenen.
Wij kunnen begrijpen dat je na het lezen van dit blog helemaal warm loopt voor het laten uitvoeren van een AVG volwassenheidsmeting. Meer weten over onze aanpak? Of samen met ons aan de slag om jouw organisatie verder te brengen op het gebied van privacy? Neem dan vrijblijvend contact met ons op via sales@cuccibu.nl of +31 (0) 85 303 2894.