Nieuwe privacywetgeving

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Door de AVG krijgen personen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Privacyrechten worden versterkt en uitgebreid. De betrokkenen kunnen zich beroepen op rechten zoals het inzien van hun gegevens, het aanpassen en verwijderen hiervan. Organisaties zijn verplicht hierop te reageren. Wanneer dit tot geschillen leidt, kunnen betrokkenen bij de Autoriteit Persoonsgegevens (AP) een klacht indienen of via de rechter een zaak aanspannen.

Wat gaat er veranderen

Zodra de AVG van kracht is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. De nadruk wordt gelegd op de verantwoordelijkheid van organisaties zelf om gedocumenteerd aan te tonen dat zij zich aan de wet houden (accountability). Organisaties mogen daarnaast alleen persoonsgegevens verwerken als er een gegronde reden is om dit te doen en als dit voor een specifiek doel gebeurt. Het is verboden om deze gegevens voor een ander doel te gebruiken. Tevens moeten organisaties de persoonsgegevens adequaat beschermen door het treffen van technische en organisatorische (beveiligings-)maatregelen. De AVG stelt dat organisaties deze stappen, het invoeren van privacymanagement, op een risicogebaseerde manier dienen aan te pakken. Dat is een vak apart en vraagt om deskundigheid.

Risicogebaseerd denken

De wereld van normeringen en certificeringen is aan het veranderen. Vanuit een wereld waarin voorgeschreven werd hoe processen gedefinieerd moeten worden naar een wereld waarin op basis van kansen en risico’s gekeken wordt naar de specifieke behoeftes van een organisatie in het kader van processen en maatregelen. Van een cultuur met ‘checks and balances’ naar een methodiek waarin men vanuit de doelen van de organisatie de relevante kansen en risico’s identificeert, evalueert en mitigeert. Risicogebaseerd denken en werken vormt de basis voor informatiebeveiliging en wordt nu ook in de AVG erkend als fundamenteel voor een effectief privacymanagement. Volgens QSN wordt het uitgangspunt steeds meer de daadwerkelijke bedrijfssturing en het onderwerp risicomanagement speelt hier een steeds prominentere rol in.

Bekijk de volledige presentatie van Nicolette Wijling op de GDPR Masterclass »

Certificering

Organisaties worden gestimuleerd om een certificering op het gebied van privacymanagement en informatiebeveiliging te behalen. QSN helpt organisaties bij het behalen van certificeringen voor informatieveiligheid, zoals ISO 27001 en NEN 7510, waarbij vertrouwelijkheid van informatie als kernthema terugkomt in de norm. Certificering biedt bij uitstek een antwoord op- en invulling van de plicht om adequate beveiliging van de persoonsgegevens door te voeren. Certificering in privacymanagement biedt een krachtige basis voor de verantwoordingsplicht die geldt voor iedere organisatie die persoonsgegevens verwerkt. Een (gecertificeerd) managementsysteem helpt bij het aantoonbaar maken van de technische en organisatorische maatregelen die een organisatie moet inzetten om aan de AVG te kunnen voldoen. Het managementsysteem helpt om inzicht te krijgen in de risico’s en in de kansen op het gebied van informatieveiligheid. Zodoende kan de organisatie beter inspelen op het belang om persoonsgegevens te beschermen.

Risicomanagement leidt tot groei

QSN ziet risicomanagement als een structureel onderdeel van de dagelijkse bedrijfssturing. Op basis van de context en strategie van de organisatie worden de relevante doelen en risico’s geïdentificeerd. Daarnaast moeten de benodigde maatregelen worden geïmplementeerd. Belangrijk uitgangspunt is dat er een cultuur binnen de organisatie heerst, dan wel gecreëerd wordt, waarin men alert is op risico’s en hiernaar kan, mag en durft te handelen. Het draait dus om vertrouwen, eigenaarschap (van doel en risico), kennis, kunde en competenties en continu verbeteren. De link naar effectief privacymanagement is hier duidelijk herkenbaar. Juist door vanuit risico’s en kansen over privacy te redeneren, door eigenaarschap te nemen over privacyrisico’s en door in openheid en helder privacybewustzijn te handelen in de dagelijkse praktijk waar met persoonsgegevens wordt gewerkt, staat een organisatie sterk in haar privacybestendigheid.

Download ook: Whitepaper: AVG de nieuwe Privacywetgeving »

Concrete hulp nodig voor jouw organisatie?

Wil je ondersteund worden bij het opzetten van een effectief privacy management systeem, waarbij risicogebaseerd werken de basis vormt? Onze consultants helpen graag! QSN kan vanuit haar kernfocus op risicomanagement organisaties bij uitstek begeleiden bij het inventariseren van kansen en risico’s en het definiëren van passende beheersmaatregelen. QSN gelooft en ademt een pragmatische instelling en zorgt bovendien voor een korte doorlooptijd.

Neem contact op via 0252 – 547 000.

Meer weten?

Nieuwsgierig geworden naar wat jouw organisatie te wachten staat bij de invoering van de AVG? Download dan onze Whitepaper: AVG de nieuwe Privacywetgeving. Lees ook de blog over risicomanagement, waarin uiteengezet wordt hoe een organisatie risico’s op een integrale en gestructureerde wijze kan inzetten om te kunnen groeien.

Dit was een gastblog van QSN risicomanagement.