Per mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Door de AVG krijgen natuurlijke personen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Privacyrechten worden versterkt en uitgebreid. Betrokkenen van wie persoonsgegevens worden verwerkt kunnen zich gaan beroepen op rechten zoals het recht om hun gegevens in te zien, aan te passen en te laten verwijderen. Organisaties zijn verplicht hier op te reageren. Wanneer dit tot geschillen leidt, kunnen betrokkenen bij de Autoriteit Persoonsgegevens (AP) een klacht indienen of zelfs via de rechter een zaak aanspannen.
Zodra de AVG van kracht is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. De nadruk wordt gelegd op de verantwoordelijkheid van organisaties zelf om gedocumenteerd aan te tonen dat zij zich aan de wet houden (accountability). Organisaties mogen daarnaast alleen persoonsgegevens verwerken als er een gegronde reden is dit te doen en als dit voor een specifiek doel gebeurt. Het is verboden om deze gegevens zondermeer voor een ander doel te gebruiken. Tevens moeten organisaties de persoonsgegevens adequaat beschermen door het treffen van technische en organisatorische (beveiligings-)maatregelen. De AVG stelt dat organisaties deze stappen, het invoeren van privacymanagement, op een risicogebaseerde manier dienen aan te pakken. Dat is een vak apart en vraagt om deskundigheid.
Organisaties worden gestimuleerd om een certificering op het gebied van privacymanagement en informatiebeveiliging te behalen. Cuccibu helpt organisaties bij het behalen van certificeringen voor informatieveiligheid, zoals ISO 27001 en NEN 7510, waarbij vertrouwelijkheid van informatie als kernthema terugkomt in de norm. Certificering biedt bij uitstek een antwoord op en invulling van de plicht om adequate beveiliging van de persoonsgegevens door te voeren. Certificering in privacymanagement biedt evenzo een krachtige basis voor de verantwoordingsplicht die geldt voor iedere organisatie die persoonsgegevens verwerkt. Een (gecertificeerd) managementsysteem helpt bij het aantoonbaar maken van de technische en organisatorische maatregelen die een organisatie moet inzetten om aan de AVG te kunnen voldoen. Het managementsysteem helpt om inzicht te krijgen in de risico’s en in de kansen op het gebied van informatieveiligheid. Zodoende kan de organisatie beter inspelen op het belang om persoonsgegevens te beschermen.
De wereld van normeringen en certificeringen is de aflopen jaren fors aan het veranderen. Vanuit een wereld waarin voorgeschreven werd hoe processen gedefinieerd moeten worden naar een wereld waarin op basis van kansen en risico’s gekeken wordt naar de specifieke behoeftes van een organisatie in het kader van processen en maatregelen. Van een cultuur met ‘checks and balances’ naar een methodiek waarin men vanuit de doelen van de organisatie de relevante kansen en risico’s identificeert, evalueert en mitigeert. Risicogebaseerd denken en werken vormt de basis voor informatiebeveiliging en wordt nu ook in de AVG erkend als fundamenteel voor een effectief privacymanagement. Volgens Cuccibu wordt het uitgangspunt steeds meer de daadwerkelijke bedrijfssturing, en het onderwerp risicomanagement speelt hier een steeds prominentere rol in.
Cuccibu ziet risicomanagement als een structureel onderdeel van de dagelijkse bedrijfssturing waarbij op basis van de context en strategie van de organisatie de relevante doelen en risico’s geïdentificeerd en de benodigde maatregelen voor geïmplementeerd worden. Belangrijk uitgangspunt is dat er een cultuur binnen de organisatie heerst dan wel gecreëerd wordt waarin men alert is op risico’s en hierop kan, mag en durft te handelen. Het draait dus om vertrouwen, eigenaarschap (van doel en risico), kennis, kunde en competenties en continu verbeteren. De link naar effectief privacymanagement is hier duidelijk herkenbaar. Juist door vanuit risico’s en kansen over privacy te redeneren, door eigenaarschap te nemen over privacyrisico’s en door in openheid en helder privacybewustzijn te handelen in de dagelijkse praktijk waar met persoonsgegevens wordt gewerkt, staat een organisatie sterk in haar privacybestendigheid.
Wil je ondersteund worden bij het opzetten van een effectief privacy management systeem, waarbij risico gebaseerd werken de basis vormt? Onze consultants helpen graag! Cuccibu heeft veel ervaring met risicomanagement en kan organisaties uitstekend begeleiden bij het inventariseren van kansen en risico’s, inclusief het definiëren van passende beheersmaatregelen. Neem vrijblijvend contact op over de mogelijkheden.
Reduce Risk, Create Value!