Blog

De AVG gaat in over:

 

Paniek? Niet nodig

Voel je de hete adem al in je nek van de AVG? Heb je nog niet veel ondernomen of weet je niet waar je moet beginnen? Geen paniek...maar wel de vaart erin!
Er is nog genoeg wat je wél al kunt doen. Om te beginnen is het belangrijk dat je onderstaande stappenplan doorloopt. Kom je qua planning tijd te kort om alles aan te pakken? Geen paniek, toon aan (leg vast) wat je nog moet doen en wanneer je dit gaat doen (tijdslijn/planning). Als je dát kunt aantonen, ben je al een stuk meer compliant dan als je niets doet.

Checklists zijn NOT a 'one-size-fits-all' aanpak

Ik zie talloze checklists op internet die beloven jou AVG-compliant te maken. Daarmee zeg ik niet dat het niet zal werken maar in vele gevallen hoef je niet álles te doen omdat het gewoonweg niet op iedereen van toepassing is. Je geeft onnodig geld uit, verspilt tijd en energie. Zonde toch?

Een goed begin is het halve werk....

Een uitdrukking die we veel gebruiken is 'een goed begin is het halve werk' en ik ben ervan overtuigd dat dit hier ook voor geldt. In de afbeelding onder zie je de AVG-Roadmap. De volgordelijkheid van fasen en de door jou te ondernemen stappen.

Stap 1: Een routeplanner

Het bepalen van jouw begingpunt is stap 1. Dit klinkt als een open deur maar je wilt niet weten hoevaak deze stap wordt overgeslagen en men gewoon 'maar iets' doet. Begin bij het begin. Vraag jezelf af: "Waar staan we nu als organisatie op het gebied van het werken met persoonsgegevens?". Verwerk je persoonsgegevens (kijk bij "AVG kun je dat eten" voor een stroomschema om te bepalen of deze wet op jouw organisatie van toepassing is).
Het is aan te raden om een consultancy bedrdijf in te schakelen die hierbij kan helpen. Dit zijn specialisten op het gebied van deze 99-artikel tellende wetgeving en hebben veel kennis van implementeren van deze open norm.

Stap 2: Wat mis ik?

Wanneer je hebt vastgesteld (eventueel met behulp van een AVG Specialist) waar jouw organisatie nu staat is de tweede stap om te toetsen wat je nog mist om te voldoen aan de AVG. Een specialist vertelt jou wat in jouw specifieke geval nog moet gebeuren. Niet alles is van toepassing; het moet passen in de context.

 

Stap 3: Acties prioriteren

In stap 2 heb je een actiepuntenlijst gekregen/gemaakt van wat er nog moet gebeuren. Maar wat nu? Zoals je in de afbeelding hierboven kunt zien noem ik een aantal zaken waar je rekening mee kunt houden bij het prioriteren van je actiepunten. Er zijn veel meer opties, maar ik licht er 3 toe.

  1. Risicostrategie. Niet elk bedrijf (of ZZP-er) heeft en risicostrategie. Maar iedereen heeft als het goed is wél een onderbuikgevoel. Dus welke je ook hebt, jij bepaalt bij dit punt hoeveel risico je bereid bent om te lopen. Dat kan van invloed zijn op jouw beslissing 'wanneer' je een actie wilt ondernemen. Kan het een half jaar wachten? Moet het gisteren gebeurd zijn?
  2. MoSCoW-methode. Voor diegenen die dit niet kennen draait het hier om de afkortingen van de genoemde hoofdletters MSCW. Deze staan voor: Must Have, Should Have, Could Have en Won't Have. Via brainstormsessies, werkgroepen en vergaderingen kun je de actiepunten plotten in de juiste categorie.



  3. Budget. Niet geheel onbelangrijk. Voor sommige acties is een investering nodig. Het kan zijn dat je die op dit moment niet kunt doen of het kan zijn dat je binnen jouw budget slechts een aantal acties kunt kiezen, ipv allemaal. Het is aan te raden om per actiepunt een schatting te doen van zowel manuren als kosten. 

 

Stap 4: Implemenatie van de AVG actiepunten

Nu je weet 'wat' je moet doen en in 'welke volgorde' je het wilt/moet doen, kun je beginnen met de volgende fase: Implementatie van de AVG actiepunten. Dit doe je het beste via de PDCA methode:

  • Plan: Plannen van activiteiten en stellen van doelen
    bijvoorbeeld: doel is om medewerkers bewust te maken van het correct werken met persoonsgegevens

  • Do: Het doen van de geplande activiteiten
    bijvoorbeeld: door middel van een awareness training of rollenspel uitleg geven met duidelijke praktijkvoorbeelden

  • Check:Check in hoeverre de afgesproken doelen zijn gerealiseerd
    bijvoorbeeld: controleer na een bepaalde tijd, door middel van een test of men het heeft begrepen. Met een test wordt bedoeld dat je jouw medewerker bijvoorbeeld een opdracht geeft van een klant die zijn gegevens wil inzien. Hoe gaat de medewerker hier mee om? Volgt de medewerker protocol? Je kunt het vergelijken met een brandalarm-oefening. Weet iedereen nog wat 'ie moet doen?

  • Act: Aanpassen waar nodig
    bijvoorbeeld: n.a.v. de check kun je eventueel de medewerker bijsturen en op sommige punten opnieuw uitleg geven.

 

Vragen?

Heb je nog meer vragen over dit onderwerp? Of wil je een persoonlijk adviesgesprek? Neem dan contact met ons op.