Met een beheerd vermogen van EUR 130 miljard, is Achmea Investment Management één van de vijf grootste vermogensbeheerders in Nederland. De klanten waarvoor Achmea IM het vermogensbeheer verzorgt zijn zowel pensioenfondsen als particulieren. Daarnaast beheren zij het vermogen van verzekeraar Achmea. Achmea Investment Management richt zich op de Nederlandse markt en wil een toonaangevende vermogensbeheerder zijn die goed luistert naar en inspeelt op de behoeften van haar klanten. Daar plukken klanten en deelnemers de vruchten van. Basisvereisten hiervoor zijn om bedrijfsprocessen aan de normen van de nieuwe privacywetgeving (AVG/GDPR) te laten voldoen en om awareness te creëren onder werknemers wat betreft de nieuwe privacy wetgeving.
Het startpunt: Een procesanalyse vanuit verschillende invalshoeken
Michel Dantuma (Project Transitie Manager bij Achmea IM) brengt projectstappen in kaart.
Gedurende de inventarisatieperiode is Devoteam gevraagd om te ondersteunen in het analyseren en AVG/GDPR compliant maken van alle bedrijfsprocessen binnen Achmea Investment Management. Devoteam heeft de inventarisatie verdere invulling gegeven door zowel vanuit de processen, applicaties, contracten als de organisatie alle persoonsgegevens boven tafel te krijgen. Vanuit een Top-Down benadering, met volledige commitment vanuit de directie, heeft Devoteam een zeer complete analyse uitgevoerd. Ook zijn preventieve maatregelen getroffen voor het geval er in de toekomst nieuwe persoonsgegevens worden gemeld.
Na de inventarisatiefase heeft Devoteam samen met het AVG/GDPR Team binnen Achmea Investment Management drie Privacy Impact Assessments (PIA) uitgevoerd om de privacyrisico’s van het project in een vroeg stadium op een gestructureerde en heldere manier in beeld te brengen. Daaruit zijn vijf matrixen met persoonsgegevens opgeleverd, een verwerkingsregister opgesteld en er zijn ruim 20 notities opgesteld waaruit verbetervoorstellen zijn ontstaan.
Het slot van een succesvol AVG/GDPR compliance traject met links Michel Dantuma (Project Transitie Manager bij Achmea IM) en rechts Joris de Graauw (voormalig consultant bij Devoteam).
Gebaseerd op de analyse heeft Devoteam i.s.m. het AVG/GDPR Team een advies gegeven in de te nemen mitigerende maatregelen. De opgestelde notities boden het management overzichtelijke opties, gebaseerd op de gap tussen de huidige situatie en de gewenste situatie vanuit de AVG/GDPR wetgeving. Zodoende heeft het management van Achmea Investment Management bewuste keuzes kunnen maken, welke Devoteam heeft laten implementeren door de betrokken afdelingen.
“Door de platte organisatiestructuur en de ruimte voor initiatief kon ik de kaders van mijn werkwijze vrijwel volledig zelf inrichten.”
Joris de Graauw
Senior Consultant bij Devoteam
AVG/GDPR awareness binnen Achmea Investment Management
Het AVG/GDPR-compliant maken van de bedrijfsprocessen op zich was niet genoeg. Het veranderen van enkel processen vereist een verandering in de menselijke omgang met deze processen. Hiervoor zijn uitgebreide trainingen/sessies gegeven aan het personeel van Achmea IM, zodat het personeel bewuste keuzes kon maken op AVG/GDPR gebied. Als onderdeel van de awareness creatie is een loket ingericht voor vragen over AVG/GDPR.
Dit privacy loket bevat:
- Behandeling van alle AVG/GDPR verzoeken vanuit klanten en medewerkers.
- Geteste en geïmplementeerde processen (ook als onderdeel van de groepsprocessen).
- Een zorgdragende functie voor de controle op, en het juist handelen bij, datalekken, interne awareness, privacy by design, etc.
- Externe communicatie over de wijzigingen van Achmea IM op het gebied van AVG/GDPR.
- Het proactief informeren van institutionele klanten.
“Overleg met korte lijntjes, goede discussies en verder denken dan in eerste instantie gevraagd werd, dat zijn de kenmerken van onze samenwerking met Devoteam.”
Michel Dantuma
Project-Transitie Manager bij Achmea Investment Management
Kortom, Achmea Investment Management is, mede door de geslaagde samenwerking met Devoteam, op tijd klaar voor de nieuwe AVG/GDPR wetgeving. De resultaten van de business analyse bieden het management de basis om bewuste keuzes te kunnen maken wat betreft privacy governance.
Een doorgrondende business analyse voor uw organisatie?
Naast het doeleind om te voldoen aan de AVG/GDPR wetgeving is een business analyse in te zetten voor veel andere verbetertrajecten. Wij bij Devoteam geloven sterk in het begeleiden van bedrijven met hun digitale gevechten. Tegenwoordig moeten organisaties een continu evolutieproces doorlopen. Tijdens deze digitale revolutie, zoals wij het noemen, is de transformatie van digitale processen en veranderende bedrijfs- en IT-processen van cruciaal belang. Het behouden van traditionele bedrijfsprocessen terwijl de wereld is overgestapt naar een digitaal tijdperk is iets dat organisaties zich simpelweg niet meer kunnen veroorloven.