AVG en organisatorische maatregelen

mindmap-2123973_640
Als organisatie ben je zelfverantwoordelijk voor de bescherming van privacy en informatiebeveiliging/ security.
Je moet hier een beleid op voeren en dat beleid ook uitvoeren. Dat is gemakkelijker om te zeggen dan te doen.
Beleid kun je in drie dimensies verdelen.

De wet (AVG)

Deze schrijft voor wat wel mag en wat niet mag. Als je een jurist vraagt; privacywet wat zegt dat jou dan krijg je hoogstwaarschijnlijk een antwoord dat doorregen is met juridische termen en dat je volgens de wet moet voldoen aan alle regels. Je kunt het gevoel krijgen dat je met voetangels en klemmen je onderneming moet leiden.

De Informatietechnologie (IT)

Deze laat zien wat je allemaal niet kunt beveiligen door je IT en wat dat allemaal voor mogelijkheden biedt om de security te borgen. Als je een IT-er vraagt wat zegt de privacywet jou dan krijg je hoogstwaarschijnlijk een antwoord dat met passwords, encryptie, firewalls de heleboel geregeld kan worden. Dat is mooi maar als je met 36 passwords en 52 x inloggen (erg overtrokken natuurlijk) bij je data kunt komen dan zakt wat ons betreft de moed in je schoenen.

De organisatiestructuur en cultuur

Deze beweegt zich op het snijvlak van hoe is de organisatie georganiseerd omtrent de privacywetgeving en de werknemers. Als je een organisatieadviseur vraagt wat zegt de privacywet jou dan krijg je hoogstwaarschijnlijk het antwoord dat dit heel veel te maken heeft met de houding en het gedrag van de medewerkers en het management/ directie. Hoe gaan zij om met de privacywet en wat kan wel en wat mag niet. Als ondernemer geeft dit naar ons idee een “los zand policy” waar je lastig op kunt ondernemen.

De maatregelen die genomen worden vallen uiteen in twee delen:
– Systeem (geautomatiseerde) beheersmaatregelen
– Handmatige (organisatorische) beheersmaatregelen.

Dus dat zou inhouden dat op basis van risicoanalyse en het wel of niet accepteren van dergelijke risico’s de maatregelen worden bepaald naar aanleiding van bedrijfsprocessen. Daardoor sluit de AVG-implementatie aan bij de wijze waarop de organisatie werkt.

Wij van PrivacyCompliant zijn van mening dat alle drie de dimensies aanwezig moet zijn. Afhankelijk van het risicobewust zijn van de ondernemer en wat wil hij dat minimaal geregeld moet zijn op het gebied van Privacy. De balans vinden op de dimensie van de WET, op IT en op de ORGANISATIECULTUUR/ STRUCTUUR