AVG

BlueDolphin en AVG

AVG met BlueDolphin

Borging AVG door vastlegging relaties met bedrijfsprocessen en IT

AVG – Stoom en kokend water

Er staat druk op organisaties om te voldoen aan de regelgeving rond de Algemene Verordening Gegevensbescherming (AVG). We zien dat organisaties de richtlijnen met stoom en kokend water na proberen te leven. In de meeste gevallen vindt vastlegging plaats in gespecialiseerde losse tools of in Excel. Op het eerste gezicht een logische werkwijze, die moet voorkomen dat je bij de eerste audit na 25 mei 2018 door de mand valt.

Maar hoe blijf je al deze informatie in de toekomst goed borgen? Hoe informeer je alle betrokkenen rond de verwerking van persoonsgegevens adequaat over wat ze wel en niet mogen en moeten doen? Naast algemene persoonsgegevens zoals contactgegevens zijn er de bijzondere persoonsgegevens als godsdienst en gezondheid die extra beschermd worden door de Europese wetgever. Hoe blijf je actief sturen om in te praktijk voortdurend te voldoen aan de voorgestelde ‘mitigerende’ maatregelen om privacy te waarborgen, waar sprake is van risico’s op datalekken?

AVG, bedrijfsprocessen en IT

AVG heeft alles te maken met de bedrijfsprocessen van de organisatie die persoonsgegevens vastlegt, bewerkt of gebruikt in combinatie met de applicaties en databases die deze data verwerken. Daar hoort de infrastructuur die dat alles ondersteunt en die op zichzelf weer een risicovolle veiligheidsbron vormt uiteraard bij. In dit complexe samenspel, vinden vrijwel dagelijks wijzigingen plaats. Bedrijfsprocessen veranderen door de dynamiek van de business, veranderende regelgeving en technische ontwikkelingen. IT beweegt hierin mee. De (privacygevoelige) data die door deze processen en IT-systemen vloeit is op diezelfde manier onderhevig aan wijzigingen. Daarom is het van belang inzicht te hebben in de samenhang en dit inzicht te borgen. Daarbij: inzicht je komt niet alleen je AVG-compliancy maar de totale sturing van je organisatie ten goede. Inzicht in de relaties tussen de processen en applicaties zorgt namelijk voor betere sturing op veranderingen in processen en het applicatielandschap.

Zodra je het AVG-verwerkingsregister koppelt aan processen, processchema’s en onderliggende IT-middelen, wordt het makkelijk om continu te voldoen aan de Europese richtlijnen. Relevante wijzigingen in het landschap zijn dan namelijk aanleiding om het verwerkingsregister te checken en, waar nodig, aan te passen. Vervolgens bepaal je óf en zo ja welke aanvullende mitigerende maatregelen nodig zijn. Zo overleg je op ieder moment een actuele en sluitende administratie en voldoe je aan de wettelijke eisen. De borging van informatie maakt het ook mogelijk om de verbanden tussen data, processen en IT dynamisch te visualiseren. Dit is essentieel om beveiligingsrisico’s snel inzichtelijk te maken en te verhelpen. De AVG geeft aan dat organisaties AVG-compliant moeten zijn, wat inhoudt dat alle verwerkingen gedocumenteerd en getoetst moeten zijn. Dat is een continu proces waarbij visualisaties een belangrijke ondersteuning vormen.

Wat is de bedrijfsfunctie, welke verwerkingsactiviteit hoort erbij en welke enterprise architectuur objecten zijn daar aan gekoppeld?

De vragenlijst in de verwerkingsactiviteit zorgt ervoor dat door het invullen ervan vanzelf een model ontstaat.

Hoe ga je AVG vastleggen en borgen?

Concrete elementen die moeten worden geregeld in het kader van de AVG-wetgeving:

  • Registreren verwerkingsactiviteiten persoonsgegevens in relatie tot processen en applicaties;
  • Data Protection Impact Assessment (PIA) – gegevensbescherming-effectbeoordeling bij (nieuwe) verwerkingen;
  • Doorvoeren gegevensbescherming;
  • Aantoonbaar compliant zijn.

Op het moment dat je de data die relevant is voor de AVG-wetgeving koppelt aan de applicaties én de processen en specifiek de processtappen waarin deze worden gebruikt, ontstaat een precies en herleidbaar inzicht in de feitelijke situatie. Wijzigingen in het IT-landschap kunnen eenvoudig geautomatiseerd worden gesignaleerd. Wanneer blijkt dat het om IT-componenten gaat die een relatie hebben met persoonsgegevens is er dus gelijk een reden om te checken of dit ook AVG-consequenties heeft. Zo creëer je een AVG-verwerkingsregister op basis van een automatisch anker met de werkelijkheid. Daarbij leg je de onderlinge relaties van de componenten ‘Bedrijfsobjecten’, ‘Bedrijfsprocessen en Processtappen’, ‘Actoren’ (afdelingen, externe actoren), ‘Data Objecten’ en ‘Applicaties’ vast.

Kies voor één centraal informatiesysteem waarin deze informatie wordt vastgelegd die toegankelijk en begrijpelijk is voor alle betrokkenen. Tevens moet alle relevante informatie hierin kunnen worden vastgelegd. Voorbeelden van relevante informatie:

  • De resultaten van de AVG-assessments (PIA);
  • Eigenaarschap van processen en applicaties;
  • Verwerkingsregister;
  • Verwerkersovereenkomsten;
  • Geconstateerde risico’s en maatregelen;
  • Status en voortgang van de realisatie van de maatregelen.

In het centrale systeem wordt ook beschreven welke relevante activiteiten er zijn, welke bewaartermijn gegevens hebben en of er sprake is van doorgifte naar derde landen. Het systeem moet alle onderlinge relaties en afhankelijkheden vastleggen, zoals met de verwerkingsverantwoordelijke, verwerker, applicaties, rechtmatige grondslag, beveiligingsmaatregelen, categorieën van persoonsgegevens, doelbinding, betrokkenen en doorgifte aan ontvanger. Deze informatie moet dynamisch kunnen worden gevisualiseerd. Alleen door visualisatie wordt de samenhang in complexe situaties eenvoudig zichtbaar (een beeld zegt meer dan duizend woorden).

Tot slot: zodra je het nieuwe systeem toegankelijk maakt voor alle betrokkenen, worden allerlei activiteiten voor het in kaart brengen van informatie én het uitvoeren van taken gedistribueerd naar diegenen die verantwoordelijk en kennishebber zijn. Denk aan applicatiebeheerders en proceseigenaren. Biedt het systeem mogelijkheden op het gebied van slimme en beschikbare gedefinieerde vragenlijsten die zelf al antwoordmogelijkheden voorstellen? Dan kunnen deze domein-verantwoordelijken zelf informatie invoeren, met behoud van consistentie. Zo maken vele handen licht werk. Zorg wel voor een persoon met een stuurfunctie die altijd inzicht heeft in de status, de voortgang en de wijzigingen eenvoudig kan beoordelen.

Geïnteresseerd in BlueDolphin?

Brochure

Bekijk onze BlueDolphin Brochure met alle relevante informatie over het samenwerkingsplatform. Zijn er vragen of opmerkingen, neem vooral contact met ons op!

Demo

Benieuwd naar wat BlueDolphin kan betekenen voor jouw organisatie? Met plezier komen we vrijblijvend langs voor een demo waarin we delen over het waarom, hoe en wat rondom BlueDolphin.

BlueDolphin

Het samenwerkingsplatform dat slim gebruik maakt van informatie en kennis op het gebied van de bedrijfsvoering en IT