Van project naar programma: de volgende stap in AVG-compliance

Geplaatst door CorporatieMedia op
 

De afgelopen twee jaar zijn woningcorporaties druk bezig geweest met de implementatie van AVG en informatiebeveiliging. Inmiddels ligt er bij velen een solide basis: de paspoort-kopieën zijn vernietigd, verwerkingsregisters opgesteld, statements gepubliceerd en maatregelen uit de Baseline Informatiebeveiliging Corporaties (BIC) zijn geïmplementeerd. Medewerkers hebben middels bewustwordingscampagnes en social-engineeringstesten ook een basisbewustzijn. De projecten worden afgerond en overgedragen naar de privacy- en security officers. Is daarmee het werk ook klaar?

Op 28 januari 2019 publiceerde de Autoriteit Persoonsgegevens (AP) een onderzoek waaruit bleek dat één op de drie mensen zich zorgen maakt over hun privacy. Onder andere ID-bewijs kopieën, BSN en betaalgegevens worden genoemd. Het onderwerp is en blijft relevant en dus is het aan de privacy- en security officers de taak om de opgeleverde stukken te onderhouden, een continue verbetering te bewerkstelligen en om te blijven werken aan een privacybewuste en informatieveilige organisatie. Maar waar verbeter je naar toe en hoe houd je het onderwerp op de agenda? Privacy en IB zijn toe aan de volgende stap: om vanuit projecten uit te groeien naar programma’s.

Programma
Waar een project een tijdig karakter heeft met een duidelijk plan dat opgeleverd dient te worden, is bij het programma juist het continue karakter van belang. Dankzij het project is er een opzet, maar nu is het aan het programma om het bestaan te garanderen. Dit start met een plek in de organisatie, met verantwoordelijken en duidelijke doelen als stip op de horizon. Het vaststellen van deze doelen is van groot belang; het biedt een basis voor jaarplannen en voor de invoering van controlepunten om de juiste stuurinformatie te creëren. Informatie die onderdeel is van je programma is vaak overal in een organisatie te vinden, maar het kan prettig zijn om alles overzichtelijk in specifieke tooling vast te leggen.

Vooruitgang
Hoe bepaal je de juiste contr olepunten voor je programma? Je hoeft niet te starten met een complete inrichting van controlepunten op elk onderdeel van de AVG of van alle maatregelen die de BIC rijk is. Vaak werkt het beter om klein te beginnen: waar wil mijn bestuur of RvC van op de hoogte worden gesteld? Waar schenkt de AP aandacht aan? Datalekken worden vaak genoemd, maar ook verzoek om inzage, status van het verwerkingenregister of bewustzijnsniveau van medewerkers zijn veel gebruikte voorbeelden.

Waar het programma zich op strategisch en tactisch niveau vooral richt op onderhoud en meten, zal blijken dat op operationeel niveau de verschuiving in aandacht plaatsvindt van generiek naar specifiek. Acties om het bewustzijn te verhogen waren vaak gericht op de gehele organisatie. Nu er een basisbewustzijn is behaald worden de vragen uit de organisatie specifieker en is het tijd om privacy en informatiebeveiliging op een niveau te brengen dat aansluit op de werkzaamheden van medewerkers.

Een groeitraject begeleidt de transitie naar een andere manier van werken en denken die past bij het continue karakter van het programma: niet in het laatste halfuurtje van de dag, maar een werkwijze. Privacy by design en dataminimalisatie blijken niet alleen te gaan over software-instellingen, maar juist ook over procesinrichting. Dit vraagt om trainingen op maat en de vertaling van beleid naar werkinstructies.

Dankzij de AVG is er een beter beeld bij dataclassificatie en ook hebben verwerkingsregisters ervoor gezorgd dat we bewuster zijn van de informatie die we in huis hebben en op wel ke plekken dit is opgeslagen. Zo kan er beter invulling worden gegeven aan passende beveiliging. Ook hierin is de verschuiving van generiek: alle maatregelen in de BIC, naar specifiek: beveiliging op basis van risicoanalyse en type informatie, merkbaar.

Interne controle
Een belangrijk onderdeel van de verbetercyclus binnen een programma is het controleren van geïmplementeerde maatregelen en onderdelen. Het is niet nodig om elk jaar de gehele AVG of alle BIC-maatregelen te onderwerpen aan een audit.

Uit elk onderzoek zullen bevindingen en aanbevelingen volgen waar iets mee gedaan moet worden. Om te voorkomen dat na de interne controle het rapport wordt aangenomen en vervolgens direct in een bureaulade belandt, is het beter om het onderzoek en de uitkomsten behapbaar te houden voor de organisatie. Volg bijvoorbeeld bij het inrichten van je interne auditcyclus je beleid. Wanneer je beleid een houdbaarheid heeft van drie jaar, verdeel dan ook je audits over drie jaar en houd tegelijk met je grote beleidsrevisie een grote audit. In deze structuur is het de overweging waard om de grote audit uit te laten voeren door een huisauditor en een externe partij.

Privacy en informatiebeveiliging blijven relevant en dus is het aan or ganisaties de taak om te blijven werken aan een privacy-bewuste en informatieveilige organisatie. Door privacy te zien als een doorlopend programma kan er stapsgewijs worden gekeken naar waar de vragen vandaan komen en waar de aandachtspunten moeten liggen. Door dit gelijk te stellen aan het interne beleid kunnen nieuwe ontwikkelingen meegenomen worden in revisies en kunnen regelmatige controles (audits) hiernaar worden ingericht.

Geïnspireerd door deze blik in de toekomst of meer weten over Privacy of IB? Wij kunnen je op weg helpen. Voor een vrijblijvende kop koffie komen we graag een keer langs.

Bron: CorporatieGids 2019 | Foto: Audittrail