Hoe richt je processen in bij het implementeren van de verordening?

Processen vormen veelal de ruggengraat van een organisatie. Of het nou gaat om bestellen van nieuw printerpapier of het aanmaken van een klantenbestand, er zijn bijna altijd bepaalde werkwijzen die gevolgd worden om inzichtelijk te houden wat zoal in een organisatie gebeurt. Dit wordt ook vaak gedaan bij de verwerking van persoonsgegevens. Hierbij worden de handelingen waarbij persoonsgegevens verwerkt zijn opgenomen in een bepaalde workflow waarbij persoonsgegevens binnenkomen in de organisatie, verwerkt worden en eventueel ook weer verlaten. Privacy compliance is hierbij echter nog lang niet bij elke organisatie een onderdeel dat in deze processen is ingebouwd, mede omdat dit vaak als belemmerend wordt gezien. De aankomende verordening stelt strenge eisen als het gaat om documentatie van de processen waarbij persoonsgegevens worden gebruikt. De vijfde stap in het implementatieproces van de privacyverordening is dan ook het inrichten van processen.

Compliance door privacy by design

Aangezien privacy compliance steeds belangrijker wordt voor organisaties is het aan te raden om eens te kijken in hoeverre privacy al onderdeel is van bestaande processen. Hierbij moet gekeken worden waar wellicht stappen kunnen worden ondernomen om de privacy van betrokkenen beter te beschermen. Door privacy structureel in de bedrijfsprocessen te verwerken wordt privacy als het ware ingebakken in je organisatie, waardoor het uiteindelijk de norm wordt om rekening te houden met privacy en je uiteindelijk minder moeite hoeft te doen om compliance aan te tonen.

Welke processen richt je in?

Naast privacy in bestaande processen zijn er verscheidene processen die apart kunnen worden ingericht om er voor te zorgen dat voldaan wordt aan de verplichtingen uit de Wet bescherming persoonsgegevens (Wbp) en de privacyverordening.

Dit betreft onder andere:

  • een proces waarmee datalekken worden opgemerkt, afgehandeld en verwerkt in een register van meldingen;
  • een proces om een verzoek om uitoefening van recht van betrokkene af te handelen (bijvoorbeeld het recht op inzage, rectificatie, verwijdering of vergetelheid;)
  • een proces dat ervoor zorgt dat volgens de beginselen van privacy by design wordt gewerkt;
  • een proces dat ervoor zorgt dat een nieuwe verwerking in het register van verwerkingen wordt opgenomen;
  • een proces waarbij de interne privacy compliance periodiek wordt gecontroleerd (zelf-evaluatie).

Het goed beschrijven van dergelijke processen kost even tijd, maar bieden het voordeel dat voor medewerkers duidelijk wordt hoe zij met persoonsgegevens dienen om te gaan en wat er gedaan moet worden op het moment dat er een keer iets mis gaat. In dit kader is het ook aan te raden om één of meerdere personen verantwoordelijk te maken voor deze processen. Deze personen kunnen dan meteen fungeren als aanspreekpunt voor vragen die wellicht vanuit de organisatie komen.

Door elke stap in het implementatieproces te doorlopen zorg je ervoor dat jouw organisatie voldoet aan de regels onder de privacyverordening. Het inrichten van de juiste processen is daarbij een belangrijke stap, dus zorg dat je weet welke processen nodig zijn en hoe je deze het best kunt opzetten.

Author image
Diederik The
Adviseur bij Privacy Company.


Dit vind je misschien ook interessant: