Compliance AVG: waar staan we 7 jaar na de invoering?
De AVG is in mei 2016 in werking getreden. Organisaties kregen tot 25 mei 2018 de tijd om hun bedrijfsvoering met de AVG in overeenstemming brengen. Zondag is dat 7 jaar geleden.
Was jij erbij? Weet je nog hoe organisaties ineens voor het eerst bezig leken te zijn met verwerkersovereenkomsten (daarvoor heetten ze 'bewerkersovereenkomsten') en iedereen riep 'Het mag niet van de AVG!'? We kijken terug om te zien wat als de grootste uitdagingen worden ervaren en wat er is veranderd sinds 2018. Wat heeft de wetgeving ons opgeleverd? Waar staan we 7 jaar na de invoering van de AVG en hoe zit het met de compliance?
Wat vinden privacyprofessionals in de sector van de AVG?
Een kort onderzoekje in de sector waar 34 instellingen input voor hebben geleverd, geeft een mooi inkijkje. Onderaan dit bericht vind je een link naar een PDF waarin je het hele rapport kunt lezen.
Bijna de helft van de deelnemers werkt al meer dan acht jaar in dit vakgebied en ruim een kwart werkt sinds 2018 in dit vak. Ruim een kwart is later aangehaakt.
Een 7 voor 7 jaar AVG
Gemiddeld waardeert men de verbetering op het gebied van gegevensbescherming door de impact van de AVG maar liefst met een 7. We doen het dus niet voor niets. Er zit wel een duidelijk verschil in die waardering: alle mbo-instellingen geven een 7of hoger. Ook 'onderzoek' is in verhouding positiever. Het minst positieve is het wo, maar er worden in totaal maar vier onvoldoendes gegeven.
Waarom is men positief
Men is vooral positief over de verordening omdat de Wet bescherming persoonsgegevens (Wbp) al wel bestond, maar die was niet op het netvlies bij de gemiddelde collega/medewerker. En dat is nu duidelijk wel het geval. Men is zich er veel beter van bewust dat er op dit vlak ook iets van hen wordt verwacht. Dit maakt het veel makkelijker om naar een bepaald volwassenheidsniveau toe te werken op alle gebieden. De AVG is als een breekijzer ervaren, maar dat is niet altijd met een positieve insteek geweest ('boete', 'het moet'). Er is nog genoeg dat beter kan. Maar het gesprek voeren is duidelijk gemakkelijker geworden, zelfs al ervaart een deel van de collega's de AVG als een last, als een verplicht nummer.
Samenwerking met anderen
Het is fantastisch om te zien dat in de meeste gevallen de interne samenwerking heel goed gewaardeerd wordt.
Extern gaat het minder, waarbij de gemeente er opvallend magertjes uitkomt. Goed om hier vanuit SURF en de MBO Raad samen met de gemeenten naar te kijken. Waar zit dit in en hoe kunnen we dat verbeteren?
Wat vinden we moeilijk?
DPIA's, dataflows, het verwerkingsregister en het complete PDCA-proces brengen ons de meeste kopzorgen qua uitvoering:
Wat gaat goed
Awareness, awareness, awareness … de helft van de respondenten geeft aan dat de awareness van medewerkers veel beter is dan voorheen. Dat zit in allerlei onderwerpen (bijvoorbeeld in het melden van een datalek, het herkennen van phishing, men vraagt om hulp). Tegelijkertijd is awareness ook juist waar we verbetering nodig vinden (zie de paragraaf hierna). Ook de adoptie van het inbedden van gegevensbescherming in het werkproces is gemakkelijker nu men meer weet over de privacywetgeving.
Andere punten die worden genoemd waar de we sinds de AVG verbetering hebben bereikt: het bestuur is betrokken, er worden bewust en betere overwegingen gemaakt bij verwerkingen van persoonsgegevens, de bescherming is daadwerkelijk verbeterd en er de organisatie van privacy is verbeter, bijvoorbeeld door het samenstellen van een privacyteam. Ook wordt verbetering in risicoaanpak genoemd.
Wat is er nog nodig
We zien dat het met de awareness op zich wel de goede kant op gaat, maar het herkennen van dat je iets moet betekent nog niet dat het ook gebeurt. Er is ook daadwerkelijke gedragsverandering nodig. Punten waar nog iets moet gebeuren:
- gedragsverandering, positieve mindset
- bewaren en vernietigen
- budget
- capaciteit
- commitment hoger management
- (hulp bij) digitale soevereiniteit
- inbedding in werkprocessen
- heldere uitleg/FAQs
- minder administratie, of makkelijker
- verbetering van het volwassenheidsniveau en PDCA
Conclusies
Op basis van de antwoorden, concluderen we dat ...
- we het eigenlijk niet over de AVG moeten hebben in de organisatie, maar over wat men nodig heeft. Het gesprek moet gaan over:
"Jij wilt iets gaan doen, samen kijken we hoe we dat veilig kunnen doen." - awareness alleen niet genoeg is, er is gedragsverandering* nodig.
- het inbedden van het toetsingskader en PDCA-verbetercyclus om verschillende redenen lastig is. Het is in ieder geval veel, dus het moet zo makkelijk mogelijk.
Gelukkig zien we dat de handen in het algemeen de handen goed op elkaar komen. Maar het blijft veel en voor sommigen een vervelend klusje.
Wat gaat het PEC doen?
DPIA en Publieke waarden
Vanuit het PEC zoeken we de samenwerking met Vendor Compliance rondom DPIA's en met Publieke waarden voor stappen op het gebied van digitale soevereiniteit (via communities.surf.nl - privacy gaat Helma met regelmaat concrete tips delen.
Voorbeelden
De FAQ wordt gevuld met concrete voorbeelden (hier is al een aanzet gemaakt, zie pec.surf.nl, faqs). Dit werken we verder uit met vraag/antwoord en tips voor je eigen werkproces aan de hand van verschillende casussen. Ook zorgen we voor andere voorbeelden, bijvoorbeeld van hoe een simpele dataflow eruit kan zien, zonder dat je meteen een architect nodig hebt.
Lekker bruikbare templates
In de komende tijd gaan we hard aan de slag met eenduidige en eenvoudig bruikbare templates en privacyproducten die ook snel in de eigen huisstijl gezet kunnen worden. Verder werken we aan voorbeelden van transparante communicatie die je bijvoorbeeld voor je studenten kunt gebruiken (zoals het document 'Hoe doe ik een inzageverzoek').
Volwassenheid verbeteren
In samenhang daarmee gaan we aan de slag met hulp om de zaken rondom het toetsingskader en de bijbehorende PDCA-verbetercyclus goed te organiseren. Dat helpt om met je collega's iets gemakkelijker richting volwassenheidsniveau 3 te werken.
De eerste stap is ondertussen gezet. Het toetsingskader is nu ook beschikbaar in Word-format waardoor het beter leesbaar is. Het bewijsmateriaal wat je nodig hebt, is erbij vermeld, zodat het duidelijker is wat je precies moet doen of hebben. Hebben? Kijk hier: Toetsingskader Privacy in tekstformat.
Hoe makkelijker jij met het privacykader aan de slag kunt, hoe makkelijker het is om de organisatie mee te krijgen. In de ideale situatie doe je ook jaarlijks ols organisatie met de anonieme benchmark mee van SURFaudit. Wie weet komt er dan nog wat competitiegevoel naar boven en krijgen we meer voor elkaar.
Ook andere punten die worden genoemd, komen in een plan van aanpak van het PEC (b.v. sets vragen die je kunt stellen intern of aan je leverancier over bepaalde onderwerpen).
* Rosanne Pouw van SURF Cybersave Yourself (CSY) werkt hieraan op basis van het COM-B-model (Capacity, Opportunity, Motivation --> Behaviour) in haar awareness-programma
Wat kun jij als privacyprofessional doen?
Uit het onderzoek blijkt duidelijk hoe belangrijk awareness (die leidt tot gedragsverandering) op ons vakgebied is. Vanuit SURF hebben we een speciale werkgroep onder leiding van Rosanne Pouw van Cybersave Yourself (CSY) die zich hiermee bezighoudt. Op dit moment ontwikkelt de werkgroep een awareness-proces waarmee je awareness structureel en consistent kunt aanpakken. Ook wordt er materiaal ontwikkeld voor awareness voor leidinggevenden. Het gaat over zowel security- als privacy-awareness.
Meer weten? Meedoen? Check en meld je eventueel aan voor de werkgroep:
Download het rapport 'Zeven jaar AVG in het onderwijs. SURF vraagt zich af, hoe is het nu?'
Meer weten? Lees het rapport met alle gegeven antwoorden.
