Het privacyniveau van de corporatie is meermaals getest. Documentatie is op- en vastgesteld. Het privacy-bewustzijn van medewerkers is opgehoogd. Het einde is in zicht! De corporatie is zo goed als compliant. Maar – wat doe je nu? Ben je nu klaar? Nee – er zijn nog een paar stappen te zetten. Deze stappen zijn wel minder intensief dan het gedane werk, maar nét zo belangrijk.
Checken compliance
Volgens jou is de privacy op orde. Maar nu is het ook tijd om dit aan te tonen. Het aantonen kun je doen via actuele relevante documentatie. De AP kan die bij een controle of als gevolg van een melding van een datalek opvragen. Zorg daarom voor een actuele versie van (onder meer): - het privacybeleid; - het verwerkingsregister; - het overzicht van verwerkers en derden; - het incidentregister. Met die actuele documentatie kun je te allen tijde aantonen, zowel aan de AP, betrokkenen en derden, dat sprake is van (uitvoering van) beleid in overeenstemming met geldende wet- en regelgeving. Het is daarom van belang dat ook na 25 mei 2018 documentatie structureel wordt bijgewerkt.
Borgen compliance
Het bijwerken van de documentatie en het uitvoeren van het actuele privacybeleid is slechts een onderdeel van het borgen van de compliance. Privacy moet een essentieel onderdeel zijn of worden van vrijwel alle processen binnen de corporatie. Het moet daarvan een vanzelfsprekend onderdeel worden. Het moet ‘gewoon’ zijn om er standaard rekening mee te houden. Uiteindelijk moet (privacy) compliance zo natuurlijk zijn, dat het net zo normaal is als de jaarlijkse accountantscontrole. De vraag is echter hoe je op het punt komt dat privacy geen extra aandacht meer behoeft, maar het direct vanaf het begin van een project wordt meegenomen? Hoe borg je privacy-by-default en privacy-by-design. Beide zijn immers belangrijke onderdelen van nieuwe projecten en derhalve van het borgen van (privacy) compliance. Je kunt daarvoor denken aan structurele awarenesscampagnes, het continu opleiden van werknemers en inbedding van privacy in alle relevante processen. Ook kan gedacht worden aan certificering en audits van de processen waarbinnen privacy een (belangrijke) rol speelt. Maar hoe controleer je dat? Daarvoor kun je gebruikmaken van softwaretools, bijvoorbeeld het Mavim AVG framework. Daarin is de AVG volledig ingevoerd en kun je alle processen toevoegen. Vervolgens kun je precies nagaan op welke punten en in welk proces de schoen wringt. Het is een nuttige tool om compliant te blijven. Organisaties zijn (net als wetgeving) altijd in beweging en juist een tool die wijzigingen in kaart brengt kan waardevolle ondersteuning bieden voor blijvende compliance.
Auteur: Matthias van der Kraats, Privacy Consultant bij Audittrail
