Alle blog posts

Van losse documenten naar grip op AVG-compliance

door

Privacy Nexus

3

min leestijd

Stel: je organisatie introduceert een nieuwe dienst. Klanten kunnen voortaan een persoonlijk account aanmaken, hun voorkeuren opslaan en via een app benaderd worden met gepersonaliseerde aanbiedingen. De productmanager is enthousiast. De lancering staat over zes weken gepland en jij, als privacy officer, krijgt van hem een Teams-berichtje: "Kun je even meekijken of alles voor privacy in orde is?" Dit is het moment waarop je bepaalt hoe je werkt en hoeveel grip je hebt. Er zijn twee scenario’s mogelijk.

Door Privacy Company en Privacy Nexus

Scenario één: werken met losse documenten

Je opent je verwerkingsregister in Excel. Je zoekt het proces dat het meest vergelijkbaar is met de nieuwe dienst. Je kopieert een rij en past hem aan. Je vraagt je af of een risicoanalyse voor verwerkingen die een hoog privacyrisico kunnen opleveren nodig is. Daarom open je een Word-document voor de pre-DPIA beoordeling. Ook stuur je een mail naar de leverancier om te vragen of er al een verwerkersovereenkomst is.

Je zoekt in je inbox naar de laatste versie van het privacybeleid. Ergens in dat proces verlies je het overzicht over welke versie van welk document nu actueel is.

Zes weken later is de dienst gelanceerd. De documentatie is grotendeels op orde, maar of alles klopt? Daar ben je eerlijk gezegd niet honderd procent zeker van. Als er later vragen komen van het management ben je niet alleen meer tijd kwijt, maar loop je ook het risico dat belangrijke informatie ontbreekt of niet meer actueel is.

Scenario twee: privacy management met Privacy Nexus

Je opent Privacy Nexus. Je registreert de nieuwe verwerking samen met de eindverantwoordelijke van de nieuwe dienst. Hij geeft zelf antwoord op de vragen over het proces, zonder dat jij alles hoeft voor te kauwen.

Omdat het verwerkingsregister up-to-date is, zie je direct welke bestaande verwerkingen raakvlakken hebben met de nieuwe dienst. Privacy Nexus geeft aan dat een DPIA wordt aanbevolen en start hem in dezelfde applicatie direct op.

De leverancier die de nieuwe app beheert, staat al in het systeem als verwerker; je ziet dat de verwerkersovereenkomst reeds aanwezig is en waar je deze kunt vinden. Hier hoef je alleen nog een addendum aan toe te voegen over de nieuwe dienst. Het privacybeleid pas je aan op basis van de geregistreerde verwerking.

Zes weken later is de dienst gelanceerd. Je weet wat er staat, waarom het er staat en wie wat heeft bijgedragen. Als het management vraagt naar een update, open je gerust het Privacy Nexus dashboard.

Welke privacy officer ben jij?

Deze scenario’s bepalen niet alleen hoe je werkt, maar ook hoe je wordt gezien door de organisatie. Overzicht en inzicht levert niet alleen betere privacybeslissingen op, maar ook meer vertrouwen in jouw rol. De productmanager heeft zijn Teams-berichtje gestuurd en de lancering staat over zes weken. Hoe jij dat moment aanpakt, bepaalt hoe soepel de lancering verloopt. Met de juiste aanpak worden risico's eerder gesignaleerd, zodat ze kunnen worden opgelost voordat ze de planning beïnvloeden. Welk scenario heeft jouw voorkeur?

Het verschil zit niet in de kennis, maar in de werkwijze

Beide versies worden uitgevoerd door een deskundige privacy officer. Het verschil zit niet in de kennis, maar in de manier waarop het werk is georganiseerd.

De informatie die nodig is voor privacy management is in veel organisaties nog altijd verspreid over losse documenten: een register hier, een template daar, een map met overeenkomsten ergens op de schijf. Die documenten zijn vaak niet met elkaar verbonden. Ze worden niet automatisch bijgewerkt als er iets verandert. Ze geven geen inzicht in wat er nog openstaat of wat er mogelijk over het hoofd is gezien.

Meestal ben je als privacy officer de enige die weet waar alle informatie staat. Het gevolg is dat je veel tijd besteedt aan het bij elkaar brengen van informatie die eigenlijk al ergens beschikbaar is. Met als gevolg dat je minder tijd hebt voor het werk waarvoor je bent aangesteld: adviseren, beoordelen en borgen.

Van archief naar werkomgeving

Beeld je eens in dat je met een software werkt dat je dagelijkse werkomgeving wordt. Geen plek waar je twee keer per jaar documenten in opslaat, maar een levend overzicht dat altijd actueel is omdat jij en je collega’s er dagelijks in werken. Dat is Privacy Nexus.

Een DPIA begint niet met het zoeken naar de juiste template, maar met het openen van een gestructureerd proces dat je stap voor stap begeleidt. Een verwerkersovereenkomst verdwijnt niet ergens in een map, maar is gekoppeld aan de verwerker én aan de verwerking; zichtbaar en traceerbaar. Je privacybeleid is geen losstaand document dat je handmatig moet bijhouden met de rest van je documentatie, maar sluit aan op wat er in het register staat.

Een samenhangende werkomgeving

Privacy Nexus is gebouwd vanuit de overtuiging dat privacy management pas écht werkt als alle onderdelen met elkaar verbonden zijn. Geen verzameling van losse documenten, maar privacy management software die alle aspecten van het vak naadloos integreert. Daarnaast beïnvloed het op een positieve manier jouw manier van werken: niet meer zoeken, kopiëren en afstemmen, maar meer tijd voor het werk waar jouw kennis écht nodig is.

Benieuwd hoe Privacy Nexus eruit ziet als dagelijkse werkomgeving? Vraag direct een gratis demo-account aan.

Privacy Nexus is de privacy management software die voortkomt uit die praktijkervaring. Privacy Company is een onafhankelijk privacy advieskantoor dat organisaties helpt bij het implementeren en borgen van AVG-compliance.