Veldhuis Advies is 'InControl' voor de AVG

Filter

Veldhuis Advies is ‘InControl’ voor de AVG

InControl

Aantoonbaarheid AVG regelen via webapplicatie ‘InControl’

Per 25 mei 2018 moeten bedrijven voldoen aan de Algemene verordening gegevensbescherming (AVG). De nieuwe ‘privacywet’ stelt flinke eisen aan de wijze waarop organisaties met persoonsgegevens omgaan. Assuron, dat is voortgekomen uit VPO/Tribion, ontwikkelde een webapplicatie die organisaties daarbij ondersteunt. Veldhuis Verzekeringen uit Heerde is een van de eerste gebruikers van deze applicatie, met de toepasselijke naam ‘InControl’.

Wichert Koopman is projectleider bij Veldhuis Advies:

“Ik laat graag zien hoe wij de applicatie gebruiken”

“Om eerlijk te zijn was ik niet direct enthousiast over de eerste versie van InControl. Ik vond het onoverzichtelijk en was bang dat het een systeem zou worden, dat we slechts één keer per jaar zouden gebruiken. Ik had Excel-voorbeelden gezien, die minstens zo eenvoudig, praktisch en overzichtelijk waren als deze applicatie. Overigens moet ik daarbij wel in ogenschouw nemen, dat die eerste versie meer één grote bibliotheek van gegevens was, dan dat de processen al logisch beschreven waren.

De tweede versie van InControl vind ik echt een stuk beter. In vergelijking met bijvoorbeeld een register in Excel, kwamen we al snel tot de conclusie dat InControl een aantal voordelen biedt. Zo hoef je gegevens die in meerdere processen voorkomen, denk aan relatiegegevens, inkomensgegevens of objectgegevens, maar één keer vast te leggen en niet voor elk proces apart. InControl is ook dynamisch, je kunt makkelijk allerlei rapportages draaien. Als je bijvoorbeeld wilt weten bij welke processen je BSNnummers vastlegt en met welke middelen je dat doet, kun je daar vrij eenvoudig een overzicht van krijgen. Of als een partij waar wij mee samenwerken gehackt wordt, dan kun je via InControl snel zien welke informatie je met die partij uitwisselt en welk risico je loopt.

Het vullen van InControl vraagt veel discipline. We besteden dan ook veel aandacht aan de wijze waarop we de applicatie vullen. De uitgangspunten en definities moeten namelijk binnen het hele bedrijf hetzelfde zijn, zodat je de goede selectie kunt maken en dwarsverbanden kunt leggen. Voor een optimale beheersing van onze processen hebben we ervoor gekozen om een ‘functionaris gegevensbescherming’ aan te stellen, die de privacy van onze relaties moet waarborgen. Hij moet in de gaten houden, dat de processen in InControl worden opgenomen, dat er met de juiste partijen verwerkersovereenkomsten worden gesloten en dat de processen periodiek worden gecheckt op de actualiteit. Na enige aarzeling ben ik inmiddels enthousiast over InControl. Andere volmachtbedrijven laat ik graag zien hoe wij de AVG hebben aangepakt en hoe wij de applicatie gebruiken.”

Paul Hutten is compliance officer bij VPO/Tribion en bedrijfsadviseur bij Assuron (onderdeel van VPO/Tribion):

“InControl essentieel voor risicobeheersing”

“Met Assuron ondersteunen wij organisaties bij een integrale aanpak van vraagstukken op het gebied van privacy en security. Via de webapplicatie ‘InControl’ helpen wij bedrijven om aantoonbaar
te maken dat ze ‘in control’ zijn. Samen met een aantal partners, waaronder Veldhuis Verzekeringen, zijn we vorig jaar een pilot gestart met een eerste (proef)versie van InControl. Deze applicatie was vooral ontwikkeld om te ontdekken waar de behoeftes liggen en of het technisch functioneerde. We keken nog niet naar gebruikersvriendelijkheid, dus dat die eerste versie nog niet volledig voldeed, snap ik. De tweede en huidige versie van InControl is in dat opzicht gelukkig een flinke verbetering.

Uitgangspunt bij het bouwen van de applicatie was, dat bedrijven voor de AVG hun verwerkingsregister op orde moeten hebben. De AVG schrijft een x-aantal zaken voor die minimaal in een verwerkingsregister moeten worden opgenomen. Deze aspecten hebben wij in de applicatie overgenomen. Vervolgens hebben we templates gedefinieerd, zodat niet elk bedrijf opnieuw hoeft uit te vinden hoe ze een verwerkingsregister moeten opzetten. Door de eigen organisatie in kaart te brengen, weten bedrijven welke processen ze allemaal uitvoeren, welke gegevens ze verwerken, welke middelen er worden gebruikt en met wie die middelen en gegevens worden gedeeld. Al die gegevens kunnen ze opnemen in InControl, waarvan de ordening en beheersbaarheid vele malen beter is dan wanneer je dat bijvoorbeeld in een Word- of Excel-document zou doen. Een ander voordeel van InControl: als er een nieuwe verwerker wordt ingevoerd, signaleert de applicatie straks automatisch dat er met die verwerker nog geen verwerkersovereenkomst is. Je wordt dus getriggerd om die alsnog op te stellen.

Sinds 1 januari hebben wij InControl in de markt gezet. Voor het maken van een verwerkingsregister, het opstellen van rapportages en als interne risicobeheersing is het in onze ogen een essentiële applicatie. We gaan zeker nog slagen maken ten aanzien van gebruikersvriendelijkheid. Ook willen we rapportages inbouwen, die direct kunnen worden geüpload in het Werkprogramma Risicobeheersing Volmachten én signaleringen voor bijvoorbeeld teamleiders om de van kracht zijnde verwerkersovereenkomsten te checken en eventueel bij te werken. Met die modules kunnen gebruikers van InControl op elk moment aan controlerende instanties en aan hun volmachtgevers aantonen dat ze in control zijn.”

Erwin Braak is Manager Volmachten bij Veldhuis Verzekeringen: 

“Allerlei dwarsverbanden leggen via InControl”

“Vanuit de verplichting om te voldoen aan wet- en regelgeving, het kunnen aantonen daarvan én vanuit onze eigen behoefte om ‘in control’ te zijn, zochten wij naar een systeem dat rapportages van uitdraaien op het gebied van processen, maatregelen en risico’s. Wij hebben onze ICT uitbesteed aan VPO/Tribion, en raakten met hen over deze wens in gesprek.

Wij zijn begonnen, buiten de applicatie van Assuron om, per team de processen te beschrijven. Welke verwerkingen vinden er met welk doel plaats, welke persoonsgegevens leggen we waar vast, welke middelen gebruiken we, aan wie verstrekken we gegevens, welke risico’s lopen we daarbij en welke maatregelen kunnen we treffen? Is wat wij vragen niet buitenproportioneel? Wij kozen er bewust voor om vertegenwoordigers van alle afdelingen hierbij te betrekken. Daar zitten tenslotte de mensen die de ins en outs van de processen kennen, waardoor je de juiste gegevens krijgt. Bovendien creëer je daarmee draagvlak binnen je organisatie. Wet- en regelgeving, en dus ook de AVG, raakt tenslotte alle entiteiten, alle afdelingen én alle medewerkers van het bedrijf.

InControl zetten wij breed door de organisatie in, dus bij de volmachtafdeling, het intermediaire kanaal en NLG arbo. We zijn nu bezig om alle processen in de applicatie te vermelden. Het grote voordeel van InControl is, dat je allerlei dwarsverbanden kunt leggen. Volmachtgevers zullen steeds vaker vragen om aan te tonen dat je voldoet aan de wet- en Regelgeving, bijvoorbeeld dat je AVG-proof bent. Vanuit InControl kun je, bijvoorbeeld op het gebied van schadebehandeling of acceptatie, eenvoudig allerlei rapportages draaien met de gegevens die je daarvoor nodig hebt.

Collega-volmachtbedrijven adviseer ik zeker om InControl te gebruiken. Alles wat nodig is om AVGproof te zijn zit erin, de aantoonbaarheid naar je opdrachtgevers is goed geregeld en het fundament van de applicatie is prima. Ook vanuit de NVGA is het van belang dat zoveel mogelijk kantoren ermee gaan werken. Zodat we sterker staan richting onze volmachtgevers en controleorganen. En als iedere volmacht InControl gebruikt, kunnen we ook nog eens van elkaar leren.”

 


Bron: GA Magazine april 2018
Door: Martin Veldhuizen

Neem contact op


Direct contact

Wilt u meer informatie of een afspraak maken? Bel dan op werkdagen tussen 08.30 en 17.30 uur met Veldhuis Advies of maak gebruik van het contactformulier.

(0578) 699 760 info@veldhuisadvies.nl

Klik hier om een schade te melden.

  • Ja, ik ga akkoord met de verwerking van mijn gegevens volgens het privacy reglement. *

  • * verplicht veld