Terug

#NieuwsAlgemeenPrivacy Professional

Privacy is nooit af: Strategisch sturen en continu verbeteren met de Privacy-cyclus

Hoe weet je nou precies waar jouw organisatie staat op het gebied van privacy compliance? Ons antwoord: het Privacy Volwassenheidsmodel! Dat schreven we in een eerder blog over privacy volwassenheid. Met het Privacy Volwassenheidsmodel kan worden voorkomen dat investeringen een statisch en eenmalig karakter krijgen. Privacywetgeving vereist namelijk een dynamisch en cyclische implementatie. Maar hoe krijg je dat nou voor elkaar? Lees snel verder en kom erachter hoe het samenspel van twee cirkels jouw organisatie kan laten groeien in privacy volwassenheid!

P&C-cyclus (Grote cirkel)

Als het goed is, heb je het Privacy Volwassenheidsmodel gebruikt als een eerste check om te bepalen waar jouw organisatie op dit moment staat qua privacy volwassenheid. Je hebt alle relevante instrumenten en documenten op het gebied van privacy & gegevensbescherming geïnventariseerd en hebt de sleutelfiguren geïnterviewd. Uit deze eerste nulmeting volgt het algehele volwassenheidsniveau van de organisatie. In de volgende stap zul je moeten weten wat het ambitieniveau van je organisatie is. Op niveau 3 (gedefinieerd) voldoet de organisatie aan haar verantwoordingsplicht en zit daarmee op het minimum niveau van privacy compliance. Hoe snel wil/kan de organisatie naar dit niveau groeien? Of liggen de ambities hoger en moet zelfs niveau 4 of 5 worden bereikt? Het is aan het bestuur om dit ambitieniveau uit te spreken.

Zodra het huidige volwassenheidsniveau en ambitieniveau helder zijn, heb je voldoende input voor een GAP-analyse waaruit blijkt welke verbeteracties de organisatie nog zal moeten nemen om op het ambitieniveau te komen. Het is verstandig om de nulmeting en de GAP-analyse vast te leggen in een Verantwoordingsdocument. Dit is namelijk de eerste momentopname en de start van het groeiproces.

Je beschikt nu over het ambitieniveau en kent de noodzakelijke verbeteracties om daar te komen. Wat rest is een plan van aanpak. Daar komt de eerste cirkel om de hoek kijken. Je bent namelijk beland bij de Planning-fase van de Planning & Control-cyclus (P&C). Deze cyclus gaat over het stellen van strategische doelen en monitoren van de realisatie daarvan. Omdat het dus gaat om de strategische doelen en niet om de doelen op procesniveau, kan hier ook gesproken worden van de grote cirkel. Het draait om Vooruitkijken -> Bijsturen -> Verantwoorden.

In de Planning-fase kijk je vooruit en werk je je plan van aanpak uit in een Organisatie Ontwikkelplan. Een meerjarenplan wat je doelstellingen op de lange termijn, je jaarplannen en de benodigde middelen bevat. Zorg ervoor dat je je doelstellingen Specifiek Meetbaar Acceptabel Realistisch en Tijdgebonden (SMART) maakt. Bijvoorbeeld: binnen 1 jaar moeten 5 thema’s op niveau 2 (beheerst) zitten, in het tweede jaar 5 thema’s op beheerst en 5 op gedefinieerd, en in het derde jaar alle 10 thema’s op gedefinieerd. Bepaal natuurlijk wel welke thema’s dat dan precies zijn. Daarbij kan worden gekeken naar urgentie en risico per thema, capaciteit en afhankelijkheid tussen thema’s.

In de Control-fase wordt de realisatie van de strategische doelen gemonitord. De organisatie kijkt terug op het afgelopen jaar en verantwoordt de voortgang. Voor deze fase kan jaarlijks wederom een Verantwoordingsdocument met een meting en GAP-analyse gebruikt worden als jaarverslag Privacy.

Het bijsturen van prioriteiten in de P&C-cyclus vindt plaats aan de hand van kwartaalrapportages over het groeiproces. Deze kwartaalrapportages dienen uiteindelijk ook als input voor het jaarplan Privacy van het jaar erop.

PDCA-cyclus (Kleine cirkel)

Hoe realiseer je dan die groei en hoe houd je hem constant? Daarvoor kun je gebruik maken van de Plan-Do-Check-Act-cyclus (PDCA) van statisticus Edward Deming. De PDCA-cyclus is een manier om gestructureerd continu te verbeteren op procesniveau. Je hebt het hier dus niet over strategische doelstellingen van de gehele organisatie, maar echt over verbeteringen in een specifiek proces. Je kan dus ook wel spreken van de kleine cirkel. Op procesniveau betekent in onze context dat je de cyclus voor verbeteracties pér privacythema doorloopt. De cyclus bestaat uit de volgende fasen:

  • Plan: Bepaal voor het privacythema welke verbeteracties nodig zijn. Stel doelen, acties en planning op en betrek de juiste afdelingen.
  • Do: Voer de geplande verbeteracties uit, zoals beleid opstellen, processen aanpassen of systemen verbeteren. Zorg dat afdelingen weten wat er van hen verwacht wordt.
  • Check: Evalueer of de actie het gewenste resultaat heeft opgeleverd. Meet of het volwassenheidsniveau is gestegen en of processen werken zoals bedoeld.
  • – Act: Stuur bij waar nodig en borg succesvolle verbeteringen in beleid of werkwijze. Gebruik de inzichten ook als input voor andere thema’s of de volgende cyclus.

In je jaarplan Privacy leg je vast wanneer je de verschillende fases gaat uitvoeren. Om te voorkomen dat verbeteringen niet aansluiten bij de strategische doelen, het bestuur zich vooral bezighoudt met micromanagement en operationele afdelingen in verwarring raken, baseer je de PDCA-cyclus altijd op de doelen uit het Organisatie Ontwikkelplan van de P&C-cyclus. Zo draagt het constant doorlopen van de kleine cirkel per privacythema bij aan het bereiken van de strategische doelstellingen van de grote cirkel. Daarmee laat je de organisatie continu strategisch en gericht verbeteren op het gebied van privacy compliance. Afhankelijk van je organisatie zou dit samenspel er als volgt uit kunnen zien:

Nu weet je hoe je privacywetgeving op een dynamische en cyclische manier implementeert. Wil je hier nou meer over weten? Kijk dan vooral naar onze opleiding Privacy Professional Vaardigheden, waarin wij je de tools bieden om je kennis op de juiste manier in de praktijk te brengen!

Ook interessant:

Lees meer

#NieuwsAVG

Van theorie naar praktijk: de obstakels bij inzageverzoeken onder de AVG

Zes jaar na invoering van de Algemene verordening gegevensbescherming (AVG) blijkt dat veel organisaties het recht op inzage nog steeds onvoldoende naleven. In 2024 onderzocht de European Data Protection Board (EDPB) hoe dit recht in de praktijk wordt nageleefd. In totaal werden 1.185 organisaties, groot en klein en uit verschillende sectoren, ondervraagd door 30 toezichthouders in Europa. Het resultaat? Een groot aantal organisaties blijkt nog steeds moeite te hebben met het correct afhandelen van inzageverzoeken van betrokkenen. De EDPB stelde op basis van deze bevindingen zeven belangrijke uitdagingen vast voor de komende jaren. Waarom worden verzoeken met betrekking tot het recht op inzage nog steeds niet goed afgehandeld? En hoe kunnen organisaties ervoor zorgen dat dit in de toekomst beter gaat? In deze blog lees je meer over het recht van inzage en de bevindingen van de EDPB. Tot slot volgen enkele praktische tips die jouw organisatie kunnen helpen bij het omgaan met inzageverzoeken.
Lees meer

#Juridisch Advies(e)-healthNieuws

Gevolgen van de European Health Data Space (EHDS) voor onderzoek in Nederland

In Nederland blijven kansen voor zorgonderzoek onbenut door de strenge en onduidelijke regelgeving omtrent het secundair gebruik van gezondheidsgegevens voor onderzoek. Nu is op 22 januari 2025 de European Health Data Space (EHDS) aangenomen. De EHDS creëert een juridisch kader dat de toegang tot elektronische gezondheidsgegevens vergemakkelijkt voor secundair gebruik.