Administratieve verplichtingen omzetten naar een privacymanagementtool: hoe pak je dit aan?

Een goede privacygovernance is een noodzaak

Voordat ik dieper inga op de bruikbare tips, vergeet niet dat niet één persoon of team dit alleen kan oppakken. Een privacy officer, Functionaris Gegevensbescherming of een privacyteam heeft veel meer oren en ogen nodig binnen de organisatie. Er zijn verschillende manieren om privacygovernance praktisch in te richten, maar het is vooral belangrijk dat het goed aansluit op de reeds bestaande processen van de organisatie. Wil je meer lezen over privacygovernance klik dan hier.‍

Het verwerkingsregister als tool voor een betere privacymanagement

Mogelijk weet jij al dat verwerkingsregisters periodiek moeten worden geüpdatet. Mijn ervaring is dat het actueel houden van deze registers veel tijd in beslag kan nemen. Het is dan juist zonde dat het register geen inzicht biedt in waar bijvoorbeeld de risicovolle verwerkingen plaatsvinden. Het verwerkingsregister is vormvrij en dit betekent dat je de onderdelen zoals verwerkingsdoeleinden, categorieën van persoonsgegevens en technische én organisatorische maatregelen in het verwerkingsregister kan finetunen. Nog interessanter, je kan het ook iets meer uitbreiden. Dit hoeft niet ingewikkeld te zijn. Je kan bijvoorbeeld naast de onderdelen die de AVG voorschrijft deze zaken meenemen:

• Het risico (laag/midden/hoog) impact betrokkenen (bv. cliënten, klanten, burgers);
• Het risico (laag/midden/hoog) na genomen technische en organisatorische maatregelen;
• Een vermelding of er gebruik wordt gemaakt van algoritmes;
• Een vermelding of er wel of geen DPIA moet worden uitgevoerd.

Focus ook op de toekomst: zijn er nieuwe projecten gepland? Neem deze voorlopig mee in het verwerkingsregister. Dan is het verwerkingsregister een middel om periodiek bij de projectleider navraag te doen over de stand van zaken van het nieuwe project.‍

Hoe kan ik ervoor zorgen dat ik als privacy officer en/of FG meer kan halen uit mijn datalekregister?

Neem de onderdelen mee in het register waar je op wil sturen of monitoren. Merk je bijvoorbeeld dat er te laat of te weinig wordt gemeld? Probeer dan te kijken hoe je deze informatie bij de melder kan verkrijgen. Misschien is daarvoor wel een aanpassing van het meldformulier noodzakelijk. Zie hieronder puntsgewijs enkele tips:

• Zorg ervoor dat de reden van te laat melden wordt geregistreerd. Antwoorden zoals: “ik weet niet waar ik moet melden” of “ik was met vakantie” kan je dan registreren in het register. Misschien dat het op dat moment niet interessant is, maar achteraf kan het alsnog waardevolle informatie zijn om mee te nemen in je bewustwordingsplan over privacy.
• Zorg ervoor dat evaluaties van de datalekken beknopt kunnen worden geregistreerd. Een evaluatie na een datalek hoeft niet ingewikkeld te zijn. Een evaluatie kan ook inhouden dat het incident wordt besproken in teamoverleggen om weer de aandacht te vestigen op privacy.
• Zorg ervoor dat de datalekken kunnen worden gecategoriseerd op inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid.
• Overweeg om de aard van het datalek mee te nemen: phishing, e-mail verstuurd naar de verkeerde persoon, enzovoort.

Meer inzicht en grip op AVG door de inzet van privacymanagement?

Hopelijk lukt het jou om deze tips toe te passen in de praktijk. En vooral dat je het verwerkings- en datalekregister ook meer als tool kan gebruiken. Ben je juist tot de conclusie gekomen dat je meer ondersteuning nodig hebt? Bij Privacy Company bieden we verschillende diensten aan om je privacyzaken op orde te krijgen. Ben je meer op zoek naar handige privacy management software? Bekijk dan ook zeker onze privacy management software, Privacy Nexus. Of wil je een gratis proef account aanvragen? Kijk dan op privacynexus.io.