AVG wetgeving, hoe te beginnen?

AVG wetgeving, hoe te beginnen?

Geschreven op 19 maart 2018.

Mijn Mentor belt me op. Ze vertelt me dat er een mooie uitdaging bij Conxillium klaar ligt. Conxillium bestaat uit vijf verschillende dochterondernemingen die gespecialiseerd zijn in hoogwaardige software voor de lokale overheid. Als projectmanager krijg ik de opdracht om ervoor te zorgen dat de organisatie aan de nieuwe Europese privacy wetgeving gaat voldoen. Deze AVG wetgeving, die ook wel bekend staat als GDPR, is een Europese privacy wetgeving die vanaf 25 mei 2018 van kracht gaat. De wetgeving geldt voor alle organisaties binnen de EU. Het beschermt en versterkt de privacyrechten van mensen en verplicht organisaties om verantwoord met persoonsgegevens om te gaan.

Conxillium volgt de huidige Nederlandse privacywetgeving, maar moet nu dus ook aan de nieuwe Europese wetgeving gaan voldoen. Mijn taak is om voor alle dochterondernemingen de processen en systemen privacyproof te maken. En dat voelt als een behoorlijke uitdaging omdat ik geen juridische achtergrond heb. Hoe te beginnen?

Gefaseerde aanpak

Ik had een maand de tijd om een start te maken met het project. Daarna moest ik het overdragen aan een collega Trainee. En dat kwam eigenlijk wel goed uit, want ik kwam er al snel achter dat de implementatie van de wetgeving sowieso gefaseerd uitgevoerd moest worden. De wetgeving is behoorlijk complex. Die is dus niet zomaar bij Conxillium door te voeren.
Ik stelde een gefaseerde aanpak voor waarbij ik mij volledig zou focussen op de voorbereiding. Mijn collega zou zich dan vervolgens alleen nog maar bezig hoeven te houden met de daadwerkelijke implementatie. Mijn aanpak werd goedgekeurd. Dat gaf mij vertrouwen en energie om mij volledig op de voorbereiding van het complexe vraagstuk te richten.

Jip-en-janneke taal

Ook al heb ik geen juridische achtergrond, mezelf verdiepen in de materie kon natuurlijk altijd. Ik begon dus met het inlezen van de complexe privacy wetgeving. Mijn doel was om eerst grondig te begrijpen wat de wetgeving inhoudt en vervolgens in kaart te brengen welke technische en organisatorische maatregelen Conxillium moest nemen.
Door mij in te lezen kreeg ik een goed beeld van de wettelijke vereisten en de verwachte verantwoordingsplichten. De uitdaging voor mij was vervolgens om de zeer juridische wetgeving te vertalen naar voor mij begrijpbare taal. En dat is uiteindelijk gelukt. En die vertaalslag kon ik goed gebruiken in het vervolg van mijn project...

Bij de start van mijn opdracht had ik al begrepen dat Conxillium niet alleen privacyproof moest worden, maar ook privacy proof moest blijven. Dat betekende dat niet alleen de huidige systemen privacy proof moesten worden gemaakt, maar ook dat alle toekomstige systemen vanaf de basis privacy proof moeten worden ontworpen. En alle medewerkers zullen hun werkwijzen moeten aanpassen aan het privacybewust werken. En dat is niet onbelangrijk, want de meeste privacyschendingen komen voort uit menselijk handelen. Ik besefte dus dat ik praktische handvatten voor iedereen binnen de organisatie moest maken om ervoor te zorgen dat iedereen privacybewust gaat werken. En daar kon ik dus mooi mijn jip-en-janneke vertaalslag van de juridische wetgeving voor gebruiken.

Leesbare documentatie

Ik ging dus hard aan de slag om alle wettelijke vereisten om te zetten in leesbare handleidingen, templates en checklists. Niet alleen handig als naslagwerk voor iedereen binnen de organisatie, maar ook handig voor mijn opvolger die de uiteindelijke implementatie moet uitvoeren. En ook degenen die binnen de organisatie die verantwoordelijk zijn voor de privacy naleving kunnen de handleidingen, templates en checklists goed gebruiken om de privacy naleving vast te leggen voor eventuele audits.

Overdracht

Door mij goed in te lezen en de vertaalslag te maken was ik in staat om in zeer korte tijd complexe wetgeving om te zetten naar een bruikbare en toepasbare instrumenten voor Conxillium. Mijn deel van het project was vooral geslaagd vanwege de steun en de vrijheid die mijn manager mij gaf om dit project om mijn eigen manier uit te voeren. Ik heb inmiddels mijn project overgedragen aan mij collega. Hij is nu bezig is met de organisatiebrede implementatie. En dat is natuurlijk weer een hele andere uitdaging. Wil je daar meer over weten? hou dan onze blogs in de gaten!