AVG met BlueDolphin

Borging AVG door vastlegging relaties met bedrijfsprocessen en IT

De Algemene Verordening Gegevensbescherming, de AVG, stelt dat alle verwerkingen van persoonsgegevens in één register moeten zijn opgenomen en eenvoudig moeten zijn in te zien of op te vragen. Veel organisaties hebben al een verwerkingsregister opgesteld. De continue veranderingen in de wereld van data en IT zorgen er echter voor dat wijzigingen in je organisatie met een impact op je verwerkingsregister niet opgemerkt of niet juist doorgevoerd worden.

Hoe blijf je al deze informatie in de toekomst goed borgen? Hoe informeer je alle betrokkenen rond de verwerking van persoonsgegevens adequaat over wat ze wel en niet mogen en moeten doen? Naast algemene persoonsgegevens zoals contactgegevens zijn er de bijzondere persoonsgegevens als godsdienst en gezondheid die extra beschermd worden door de Europese wetgever. Hoe blijf je actief sturen om in te praktijk voortdurend te voldoen aan de voorgestelde ‘mitigerende’ maatregelen om privacy te waarborgen, waar sprake is van risico’s op datalekken?

Bekijk brochure
Bekijk whitepaper

AVG, bedrijfsvoering en IT

AVG heeft alles te maken met de bedrijfsprocessen van de organisatie die persoonsgegevens vastlegt, bewerkt of gebruikt in combinatie met de applicaties en databases die deze data verwerken. Daar hoort de infrastructuur die dat alles ondersteunt en die op zichzelf weer een risicovolle veiligheidsbron vormt uiteraard bij. In dit complexe samenspel, vinden op frequente basis wijzigingen plaats. Bedrijfsprocessen veranderen door de dynamiek van de business, veranderende regelgeving en technische ontwikkelingen. IT beweegt hierin mee. De (privacygevoelige) data die door deze processen en IT-systemen vloeit is op diezelfde manier onderhevig aan wijzigingen. Daarom is het van belang inzicht te hebben in de samenhang en dit inzicht te borgen. Daarbij: inzicht je komt niet alleen je AVG-compliancy maar de totale sturing van je organisatie ten goede. Een win-win situatie.

Operational processes

Voldoen aan AVG met BlueDolphin

Zodra je het AVG-verwerkingsregister koppelt aan processen, processchema’s en onderliggende IT-middelen, wordt het makkelijk om continu te voldoen aan de Europese richtlijnen. Relevante wijzigingen in het landschap zijn dan namelijk aanleiding om het verwerkingsregister te checken en, waar nodig, aan te passen. Vervolgens bepaal je óf en zo ja welke aanvullende mitigerende maatregelen nodig zijn. Zo overleg je op ieder moment een actuele en sluitende administratie en voldoe je aan de wettelijke eisen. De borging van informatie maakt het ook mogelijk om de verbanden tussen data, processen en IT dynamisch te visualiseren. Dit is essentieel om beveiligingsrisico’s snel inzichtelijk te maken en te verhelpen. De AVG geeft aan dat organisaties AVG-compliant moeten zijn, wat inhoudt dat alle verwerkingen gedocumenteerd en getoetst moeten zijn.

AVG BlueDolphin
AVG Whitepaper

AVG Whitepaper

Hoe ga je AVG vastleggen en borgen?

Concrete elementen die moeten worden geregeld in het kader van de AVG-wetgeving:

  • Registreren verwerkingsactiviteiten waarin persoonsgegevens worden verwerkt in relatie tot processen en applicaties;
  • Data Protection Impact Assessment (PIA) op nieuwe verwerkingen of bestaande verwerkingen met hoge impact – gegevensbescherming-effectbeoordeling;
  • Doorvoeren gegevensbescherming door mitigerende maatregelen;
  • Aantoonbaar compliant zijn.

Op het moment dat je de data die relevant is voor de AVG-wetgeving koppelt aan de applicaties én de processen en specifiek de processtappen waarin deze worden gebruikt, ontstaat een precies en herleidbaar inzicht in de feitelijke situatie. Wijzigingen in het IT-landschap kunnen eenvoudig geautomatiseerd worden gesignaleerd. Wanneer blijkt dat het om IT-componenten gaat die een relatie hebben met persoonsgegevens is er dus gelijk een reden om te checken of dit ook AVG-consequenties heeft. Zo creëer je een AVG-verwerkingsregister op basis van een automatisch anker met de werkelijkheid. Daarbij leg je de onderlinge relaties van AVG verwerkingen op basis van Bedrijfsfunctie met de componenten ‘Bedrijfsobjecten’, ‘Bedrijfsprocessen en Processtappen’, ‘Actoren’ (afdelingen, externe actoren), ‘Data Objecten’ en ‘Applicaties’ vast.

Kies voor één centraal informatiesysteem waarin deze informatie wordt vastgelegd die toegankelijk en begrijpelijk is voor alle betrokkenen. Tevens moet alle relevante informatie hierin kunnen worden vastgelegd. Voorbeelden van relevante informatie:

  • De resultaten van de AVG-assessments;
  • De resultaten van een DPIA (PIA) analyse;
  • Eigenaarschap van processen en applicaties;
  • Verwerkingsregister;
  • Verwerkersovereenkomst beschikbaar; vastleggen hyperlink naar overeenkomst;
  • Inzicht in risico’s en vaststellen maatregelen;
  • Status en voortgang van de realisatie van het verwerkingsregister.

In het centrale systeem wordt ook beschreven welke relevante activiteiten er zijn, welke bewaartermijn gegevens hebben en of er sprake is van doorgifte naar derde landen. Het systeem moet alle onderlinge relaties en afhankelijkheden vastleggen, zoals met de verwerkingsverantwoordelijke, verwerker, applicaties, rechtmatige grondslag, beveiligingsmaatregelen, categorieën van persoonsgegevens, doelbinding, betrokkenen en doorgifte aan ontvanger. Deze informatie moet dynamisch kunnen worden gevisualiseerd. Alleen door visualisatie wordt de samenhang in complexe situaties eenvoudig zichtbaar (een beeld zegt meer dan duizend woorden).

Tot slot: zodra je het nieuwe systeem toegankelijk maakt voor alle betrokkenen, worden allerlei activiteiten voor het in kaart brengen van informatie én het uitvoeren van taken gedistribueerd naar diegenen die verantwoordelijk en kennishebber zijn. Denk aan de Functionaris Gegevensbescherming (FG), de CISO (security officer),  applicatiebeheerders en proceseigenaren.

BlueDolphin biedt optimale mogelijkheden om alle vragen in voorgedefieerde antwoordlijsten in te vullen. Dan kunnen deze domein-verantwoordelijken zelf informatie invoeren, met behoud van consistentie. Zo maken vele handen licht werk. BlueDolphin zorgt dat u inzicht heeft in de status, de voortgang en de wijzigingen, zodat het register eenvoudig onderhouden en beoordeeld kan worden.

Contact