Voldoen aan AVG doe je onder architectuur
Rolf van Deursen
Nog even en dan is het zover. Vanaf 25 mei 2018 moeten organisaties voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De AVG raakt alle niveaus binnen de organisatie, van bestuur tot techniek. Samenhang tussen deze niveaus is van groot belang. Voldoen aan de AVG doe je daarom onder architectuur!
Door alle aspecten (bedrijfs-, informatie- en technische architectuur) van gegevensverwerking aan elkaar te verbinden en inzichtelijk te maken, kan beter bepaald worden welke maatregelen echt nodig zijn en waar het minder kan.
Project Start Architectuur als basis voor de DPIA
Voor projecten waarin gegevensverwerking plaatsvindt met een hoog privacyrisico is het verplicht om een Data Protection Impact Assessment (DPIA; ook vaak aangeduid als PIA) uit te voeren. Verwerking van bijzondere persoonsgegevens en het toepassen van nieuwe technologie zijn voorbeelden die het privacyrisico van een project verhogen.
De Project Start Architectuur (PSA) van een project is bij uitstek het architectuurinstrument om het principe van ‘Data protection by design and by default’ dat in artikel 25 van de AVG staat beschreven daadwerkelijk in te vullen. Door beveiliging en privacy mee te nemen in de uitwerking van de bedrijfs-, informatie- en technische architectuur, worden aspecten als proportionaliteit en subsidiariteit van gegevensverwerking al in een vroeg stadium kritisch getoetst. Ook wordt de impact van de implementatie van passende maatregelen om de persoonsgegevens te beschermen inzichtelijk. Onmisbare informatie tijdens het uitvoeren van de DPIA!
Hergebruik bestaande referentiearchitecturen
Door in de PSA verbinding te maken met nationale of sectorale referentiearchitecturen zoals de Nederlandse Overheid Referentie Architectuur (Nora) of de Gemeentelijke Modelarchitectuur (GEMMA), kan de hierin opgenomen kennis, zoals bijvoorbeeld de BIV-classificaties van de GEMMA referentiecomponenten, eenvoudig hergebruikt worden.
Architectuurprincipes voor Beveiliging en Privacy
Architectuurprincipes zijn een belangrijk instrument voor een architect om kaders en richtlijnen als richtinggevende uitspraken met onderbouwing vast te leggen. En te laten bekrachtigen door het verantwoordelijke management. Door de uitgangspunten voor beveiliging en privacy ook op deze manier uit te werken in de context van het project, wordt het fundament voor het project gelegd om te voldoen aan onder andere de AVG. Zie ook de blog van mijn collega David Kamp met een aantal concrete voorbeelden!
Inzicht door overzicht
Mijn ervaring is dat het opstellen van een PSA heel effectief is om het juiste niveau van maatregelen op het gebied van beveiliging en privacy te bepalen. Het verbindt, binnen de context van het project, alle lagen van de organisatie. En het verschaft inzicht in wat een project nodig heeft en ook waarom bepaalde maatregelen nodig zijn. Daarmee is het misschien wel de manier om succesvol door de DPIA beoordeling te komen!
