Home / Nieuws & Blogs / AVG-Compliance II, de taken en de aanpak

AVG-Compliance II, de taken en de aanpak

| 13 mei 2022

In onze vorige blog heb je kunnen lezen dat AVG-compliance meestal leidt tot repetitief, tijdrovend en handmatig werk. Daarbij komt dat dit werk vaak bij juristen wordt neergelegd, terwijl de werkzaamheden meer een administratieve aard hebben. Iets wat zich goed leent voor automatisering. Nu wil je vast meer weten over de verschillende werkzaamheden en de bijbehorende mogelijkheden tot automatisering. Mooi! In deze blog ga ik daar namelijk dieper op in.

Zoals genoemd zijn het met name de werkzaamheden van administratieve aard welke zich goed lenen voor automatisering. Juristen hoeven zich echter geen zorgen te maken voor een tekort aan werk. De AVG brengt namelijk ook voldoende specifieke vraagstukken met zich mee die toch echt opgelost moeten worden door juristen. Door het administratieve werk uit handen te nemen, kan de jurist zich zelfs beter focussen op hetgeen waarvoor hij of zij is opgeleid. Wat zijn dan die werkzaamheden waarbij automatisering uitkomst kan bieden? Hierbij wat voorbeelden:

  • het opstellen en bijhouden van een verwerkingsregister;
  • het uitvoeren en updaten van assessments, zoals (pre) Data Protection Impact Assessments (DPIA’s), Legitimate Interests Assessments (LIA’s) en Transfer Impact Assessments (TIA’s);
  • het registreren van datalekken, alsmede de opvolging hiervan;
  • het afhandelen van verzoeken van betrokkenen;
  • het managen en controleren van leveranciers; en natuurlijk niet te vergeten,
  • het rapporteren over deze onderwerpen.

De juiste tooling kan voordelen bieden bij elk van bovenstaande werkzaamheden. Er zijn inmiddels meer dan voldoende leveranciers van privacy management systemen die graag hierbij zouden helpen, maar hoe zou zoiets er nou uit zien voor jouw organisatie?

Het verwerkingsregister

Het verbaast mij dat veel juristen nog bezig zijn met het opstellen en bijhouden van een verwerkingsregister in Excel. Natuurlijk moet het register voldoen aan bepaalde eisen, maar dat betekent niet dat het een taak is voor de jurist.

Met tooling kun je namelijk gemakkelijk een vragenlijst gebruiken, waarmee de inventarisatie van verwerkingen snel kan worden uitgevoerd. Deze vragenlijst wordt namelijk via de tool uitgestuurd naar de verschillende afdelingen en alle antwoorden worden automatisch opgenomen in het register. Om het gemak nog verder te vergroten voor de organisatie, kun je instellen welke vragen worden getoond of welke juist worden overgeslagen afhankelijk van eerdere antwoorden. Daarnaast kan de tool periodiek om updates vragen van de business zodat het verwerkingsregister actueel blijft. Kortom, je bent veel minder tijd kwijt aan handmatig werk.

Het uitvoeren en updaten van assessments

De meeste organisaties zullen met enige regelmaat een DPIA moeten uitvoeren. Wat is eigenlijk de impact van het verwerken van de persoonsgegevens en hoe kunnen bepaalde risico’s gemitigeerd worden? In de praktijk zie je dat veel DPIA’s zich opstapelen en dat er na afronding van de DPIA er niet meer naar gekeken wordt. Hetzelfde geldt voor andere type assessments, zoals LIA’s en TIA’s. Dit betekent dat bevindingen niet altijd opgelost worden door de organisatie en dat je als privacy officer ook geen overzicht behoudt in de nog openstaande risico’s. Daarnaast worden assessments niet bijgewerkt wanneer bepaalde aspecten van de verwerking wijzigen.

Tooling biedt hierin natuurlijk geen magische oplossing. Sommige assessments blijven nou eenmaal ingewikkeld. In dit geval zit de kracht van tooling in een stukje standaardisatie en overzicht. Zo kan tooling automatisch risico’s en beheersmaatregelen flaggen en kan het taken uitzetten op basis van bepaalde antwoorden in een assessment. Ook blijven al deze acties en de status hiervan inzichtelijk op één plek.

Datalekken en de afhandeling

In de praktijk zie ik vaak dat het melden van een datalek een drempel is voor medewerkers. Helemaal als het een menselijk fout betreft van de medewerker zelf. Als de medewerker vervolgens niet weet hoe een melding gemaakt moet worden, op zoek moet naar een handleiding of andere formulieren op intranet om vervolgens heen en weer te mailen met de privacy officer, dan neemt de kans op tijdige meldingen steeds verder af. Niet heel handig als je het datalek binnen 72 uur moet melden. Maar wat nou als dit via een tool kan? Denk aan een soort zelf service portaal waar werknemers heel eenvoudig kunnen aanvinken of uitleggen wat er precies is gebeurd. De drempel om een datalek te melden komt hiermee al een stuk lager te liggen. Nóg een voordeel: het datalek komt direct bij de juiste persoon terecht, waardoor het datalek snel kan worden opgepakt.

Afhandelen van verzoeken van betrokkenen

Steeds vaker zal je verzoeken van betrokkenen krijgen die hun data willen inzien, wijzigen of misschien zelfs volledig verwijderen uit de systemen van jouw organisatie. Misschien heb je zelfs nog een hele hoop verzoeken in je mailbox liggen. Wat was de status daar ook alweer van en zijn al die verzoeken wel voor jou om af te handelen of mag je ze weer doorsturen?

Ook dit kan makkelijker met de juiste tooling. Net zoals bij het melden van datalekken, kan het opzetten van een zelf service portaal hier uitkomst bieden. Een verzoek komt alleen binnen wanneer de betrokkene de verplichte velden heeft ingevuld en zich bijvoorbeeld heeft geïdentificeerd met een klantnummer. Vervolgens komt het verzoek automatisch bij de juiste personen terecht voor afhandeling. Verder zorgt de tool ervoor dat je het overzicht behoudt van openstaande en afgehandelde verzoeken.

Managen en controleren van leveranciers

Hoewel jij misschien al helemaal privacy-compliant bent, wil je natuurlijk ook dat je leveranciers dit zijn. Tegelijkertijd wil je geen dagen of veel van je budget kwijt zijn aan het onderzoeken van alle leveranciers. Moet je trouwens wel alle leveranciers onderzoeken of is de ene leverancier minder van belang dan de andere? Heb je dit overzicht?

Door leveranciers op risico’s te classificeren en vervolgens workflows op te zetten die afhankelijk zijn van de classificatie, kun je op een efficiënte manier de juiste controles uitvoeren bij de verschillende type leveranciers. Bepaalde tools, zoals OneTrust of Openli, bevatten al actuele informatie over veel leveranciers, waardoor een eigen controle wellicht niet eens meer nodig is. Daarnaast kan een en ander natuurlijk geautomatiseerd worden, zodat je termijnen en overzichten niet meer handmatig hoeft bij te houden.

Rapporteren

Zoals hierboven al een aantal keren genoemd, zorgt tooling vrijwel automatisch voor overzicht. Als er in een tool gewerkt wordt, hoef je niet handmatig nog een Excel te updaten met de status van bijvoorbeeld de DPIA’s of datalekken. Met een druk op de knop kun je rapporteren over verschillende onderwerpen. Dit is niet alleen handig voor het bepalen van een strategie en het uitzetten van concrete taken, maar vaak ook noodzakelijk als onderbouwing wanneer je vanuit het bestuur van de organisatie budget of andere ondersteuning nodig hebt voor AVG-compliance.

Meer weten?

Benieuwd naar de tooling die dit mogelijk maakt of benieuwd naar de manier hoe ICTRecht Legal Tech hierbij kan ondersteunen. Maak dan een vrijblijvende afspraak met één van onze specialisten.


Meer weten over legal tech? Lees verder: