Realisatie van AVG-Compliance door Gerichte Risicoanalyse en Versnellingstrajecten

De Belastingdienst is een uitvoeringsorganisatie van de Rijksoverheid, verantwoordelijk voor het heffen en innen van belastingen, het uitkeren van toeslagen en het handhaven van fiscale wet- en regelgeving. Door de omvang, complexiteit en maatschappelijke impact van haar dienstverlening verwerkt de organisatie grote hoeveelheden persoonsgegevens. Hierdoor gelden hoge eisen aan informatiebeveiliging, privacy en datakwaliteit.

Binnen dit kader werkte de Belastingdienst aan het versterken van de naleving van de Algemene Verordening Gegevensbescherming (AVG), met bijzondere aandacht voor het inzichtelijk maken van risico’s en het borgen van compliance binnen verschillende bedrijfsprocessen. Hiervoor zijn veertien AVG-quickscans uitgevoerd, waarmee processen en gegevensverwerkingen systematisch in kaart zijn gebracht. De planning stimuleerde een tijdige oplevering, zodat de resultaten direct konden bijdragen aan interne rapportages en besluitvorming.

Issue

Het centrale vraagstuk betrof het identificeren, prioriteren en mitigeren van hoge AVG-risico’s binnen uiteenlopende bedrijfsprocessen. De doelstelling was om vóór de gestelde deadline volledige compliance te realiseren, waarbij de naleving van wet- en regelgeving en interne richtlijnen werd geborgd. Daarnaast was het essentieel om het management helder inzicht te bieden in voortgang, risico’s en uitkomsten van de quickscans, zodat tijdige en goed onderbouwde besluitvorming mogelijk bleef.

Approach

Het project is uitgevoerd op basis van een gestructureerde en resultaatgerichte werkwijze. Er zijn projectplannen opgesteld en gecoördineerd, inclusief strakke planningen, wekelijkse voortgangsrapportages en eindrapportages voor het management. Versnellingssessies zijn georganiseerd om risico’s diepgaand te analyseren en samen met inhoudsdeskundigen, privacy-experts en businessanalisten mitigerende maatregelen of acceptatiestrategieën uit te werken.

Dankzij frequente voortgangsrapportages en tijdige escalatie bij eventuele vertragingen of capaciteitsvraagstukken bleef het management voortdurend voorzien van actueel inzicht. Risico’s met hoge prioriteit zijn tijdig geaccepteerd of gemitigeerd conform de AVG- en BIO-richtlijnen.
Gedurende het project vond directe rapportage plaats aan het hogere management, waarbij voortgang, aandachtspunten en benodigde besluiten regelmatig werden afgestemd.

Projectactiviteiten en multidisciplinaire teams zijn aangestuurd met blijvende aandacht voor naleving van wet- en regelgeving en interne kaders. Stakeholderrelaties zijn actief beheerd en waar mogelijk zijn procesverbeteringen doorgevoerd om efficiëntie en kwaliteit te verhogen. Daarnaast is een Risk Appetite Statement opgesteld en geformaliseerd, waarmee de risicobereidheid van de organisatie duidelijk is vastgelegd en de besluitvorming rondom risicobeheer is versterkt.

Result

Deze aanpak heeft geleid tot succesvolle afronding van alle veertien quickscans binnen de gestelde deadlines. De belangrijkste AVG-risico’s zijn tijdig gemitigeerd of formeel geaccepteerd, waarmee aantoonbare compliance is gerealiseerd met de AVG- en BIO-richtlijnen. De organisatie beschikt nu over een volledig risicoprofiel, heldere beheersmaatregelen en een geformaliseerd Risk Appetite Statement dat richting geeft aan toekomstig risicobeheer. Daarnaast zijn processen gestroomlijnd, is de samenwerking verbeterd en is de structurele borging van privacy en informatiebeveiliging versterkt.