Stap 1: ‘installatie en dashboard’

Vanaf de startpagina van uw eigen SBCM kunt u navigeren naar uw dasboard, naar activiteiten en registers en kunt u onderlinge relaties leggen. U begint met het vastleggen van uw eigen bedrijfsgegevens en bedrijfsstructuur.  

Stap 2 ‘overzicht verwerkingen en informatiesystemen’

U brengt vervolgens uw gegevensverwerkingen in kaart en legt deze vast in het SBCM. U legt ook vast welke persoonsgegevens u verwerkt, voor welk doel u de persoonsgegevens verwerkt, wie de betrokkenen zijn, op basis van welke rechtmatigheidsgrondslag u de persoonsgegevens verwerkt, met wie u deze persoonsgegevens deelt, hoelang u de persoonsgegevens bewaart, etc.  

Ook de informatiesystemen waarin de verwerkingen plaatsvinden legt u vast. Op een later moment koppelt u de verwerkingen met bijvoorbeeld informatiesystemen en onderzoeken, contracten en andere activiteiten en registers. 

Stap 3 ‘bedrijfsprocessen’

Al uw bedrijfsprocessen, inclusief hun gelaagdheid, kunnen worden opgenomen in het SBCM. Zo brengt u verwerkingsactiviteiten en processen met elkaar in verband zodat u bij veranderingen direct ziet welke impact dat heeft.

Stap 4 ‘contracten’

U kunt contracten zoals verwerkersovereenkomsten vastleggen in het SBCM en vervolgens koppelen aan bijvoorbeeld verwerkingen, processen en datalekken. 

Stap 5 ‘onderzoeken’

Onder de AVG bent u verplicht een DPIA uit te voeren als een beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich mee brengt. Ook de onderzoeken, resultaten en bevindingen van privacy by design en by default kunnen in het SBCM worden gedocumenteerd. Vervolgens kunt u deze onderzoeken koppelen aan verwerkingen, contracten, betrokkenen en registers. 

Stap 6 ‘meldplicht datalekken’

De AVG stelt strenge eisen aan het registreren van datalekken die zich in uw bedrijf hebben voorgedaan, ongeacht of u deze meldt aan de toezichthouder en aan de betrokkene(n). In het datalekregister documenteert u alle datalekken en incidenten, inclusief de afwegingen (beslismodel) en activiteiten en u koppelt deze aan bijvoorbeeld een verwerking, informatiesysteem en betrokkene(n).  Zo bent u altijd in staat bent om aan te tonen dat u voldoet aan de AVG.

Stap 7 ‘verzoeken van betrokkenen’

Onder de AVG hebben betrokkenen meer rechten, zoals het recht op dataportabiliteit, recht op inzage, correctie en verwijdering. Het SBCM heeft een register om de verzoeken van betrokkenen vast te leggen en op te volgen, inclusief een weergave van de status van de verzoeken. 

Stap 8 ‘organiseren van toestemming’

Voor sommige gegevensverwerkingen heeft u toestemming nodig van de betrokkenen. Deze toestemming kunt u in het SBCM bijhouden en koppelen aan meerdere verwerkingen, informatiesystemen, etc. 

Stap 9 ‘creëren van bewustwording’

U gaat uw leeromgeving inrichten om ervoor te zorgen dat relevante medewerkers in uw bedrijf op de hoogte zijn van de AVG en aanverwante wetgeving. De medewerkers moeten kunnen inschatten wat de impact van de AVG is op de huidige processen en werkzaamheden en welke aanpassingen nodig zijn om aan de AVG te voldoen. Zo start een blijvende gedragsverandering die nodig is voor het succesvol opbouwen van uw privacyboekhouding.