De Algemene Verordening Gegevensbescherming (AVG)… nog altijd een veel besproken onderwerp. Organisaties hebben zich de afgelopen jaren vooral gericht op het implementeren van de basisprincipes in deze verordening. Nu duidelijk is wat de AVG allemaal met zich meebrengt, zie je dat organisaties zoeken naar manieren om te verbeteren. Enerzijds willen ze steeds meer ‘volwassen’ worden als het gaat om AVG-compliance en anderzijds moeten de bijkomende werkzaamheden efficiënter worden uitgevoerd. Helaas wordt dit niet altijd even goed aangepakt en worden privacyfunctionarissen of andere medewerkers opgezadeld met repetitief, tijdrovend en handmatig administratief werk. Dit leidt logischerwijze tot frustratie. Denk aan het handmatig updaten van Exceloverzichten op basis van losse e-mails en bestanden. Zonde, want er bestaan zoveel goede tools om hierbij te ondersteunen. Ik vraag mij af waarom automatisering voor AVG-compliance nog niet echt leeft bij veel organisaties. Je kan hier veel theorieën op loslaten, waarvan de bekendste natuurlijk het gebrek aan budget is.
Wat ik ook vaak zie is dat een organisatie een te simplistisch beeld heeft bij AVG-compliance en daarom (nog) niet voor automatisering kiest. Maar al te vaak hoor ik dat er bijvoorbeeld een project wordt gestart om “even” de DPIA’s af te ronden of om een verwerkingsregister in te richten. De focus wordt gelegd op cijfers en documentatie, zodat men op de oppervlakte aan de AVG lijkt te voldoen. Immers, de producten zijn er toch?
Wat veel organisaties niet meenemen in hun wens naar AVG-compliance, is dat het geen momentopname is. Veel verplichtingen onder de AVG leiden juist tot doorlopende processen en houden dus niet op zodra er een nieuw documentje in een la verdwijnt. Heb je een DPIA opgesteld? Top! Maar wie houdt vervolgens bij of de adviezen in de DPIA daadwerkelijk worden opgevolgd? Hoe wordt deze opvolging eigenlijk vastgelegd? Hoe zorg je ervoor dat de DPIA wordt herzien na een aantal jaar of zodra aspecten van het proces veranderen? Hetzelfde geldt voor een verwerkingsregister. Hoe houd je deze als organisatie actueel?
Kortom, veel (administratief) werk dat nooit echt ‘af’ is en waarbij meerdere mensen in een organisatie moeten samenwerken. Daarnaast moeten de werkzaamheden zoveel mogelijk worden uitgevoerd op basis van standaarden en het beleid binnen de organisatie. Met dit als achtergrond kun je niet claimen dat het handig is als iedere medewerker hier op zijn eigen laptop mee aan de slag gaat in een Word-document en de resultaten vervolgens ergens in een mapje opslaat of rondmailt.
De aspecten van samenwerking, standaardisatie, herhalende werkprocessen en het houden van overzicht zorgen ervoor dat een privacy management systeem de betere keuze is. Het handmatig bijhouden van een Exceloverzicht over de DPIA’s kan komen te vervallen, dit is altijd real-time inzichtelijk. Daarnaast ben je door de ingebouwde workflows veel minder tijd kwijt aan begeleiding en raakt de organisatie niet ineens allerlei kennis kwijt wanneer iemand ziek wordt of een andere baan vindt. Zo zijn er nog veel meer voordelen te benoemen.
Voor een privacy management systeem is uiteraard budget nodig. Het verhogen van je volwassenheidsniveau vereist echter altijd een investering. De vraag is alleen: waarin ga je investeren? Vanwege de voordelen van tooling, moet ik de eerste organisatie nog vinden waar de inzet van tooling niet het meeste voordeel zou opleveren. Zelf als een willekeurig privacy management systeem wordt gekozen, is een organisatie hoogstwaarschijnlijk beter af dan handmatig blijven werken. Om het meeste uit een investering te halen, is het natuurlijk wel van belang dat je kiest voor de oplossing die het beste bij jouw organisatie past. Dit is niet gemakkelijk vanwege de wildgroei aan softwareoplossingen, maar daar helpen wij graag bij.
Meer weten over legal tech? Lees verder:
