Nieuws: 16 apr 2018

" alt="">

AVG – 6 onmisbare stappen voor een goede voorbereiding

De Autoriteit Persoonsgegevens gaat vanaf 25 mei a.s. de Algemene verordening gegevensbescherming (AVG) handhaven. De AVG is allesbehalve een ver-van-mijn-bedshow omdat vrijwel iedere organisatie persoonsgegevens verwerkt. Met deze 6 stappen komt u beslagen ten ijs.

1. Inlezen

Voordat u allerlei maatregelen treft, is het verstandig u goed in te lezen in het onderwerp. Met name de Autoriteit Persoonsgegevens (AP) biedt goede documentatie online aan. Vooral de AVG-regelhulp en het tienstappenplan zijn waardevol en bieden praktische handvatten voor AVG-compliance.

2. Inventariseer welke persoonsgegevens uw organisatie verwerkt

Met de nodige basiskennis in huis is het inventariseren van uw persoonsgegevensverwerking een goede tweede stap. Wanneer u weet welke persoonsgegevens uw onderneming verwerkt, kunt u beter bepalen welke regels van toepassing zijn. Die regels zijn bijvoorbeeld strikter wanneer u bijzondere persoonsgegevens verwerkt. Denk daarbij aan informatie over iemands geaardheid of gezondheid. De registratie van bijvoorbeeld ziekteverzuim is al een verwerking van bijzondere persoonsgegevens.

3. Stel een verwerkingsregister op

Een groot deel van de ondernemingen moet een verwerkingsregister opstellen en bijhouden. Dat is een  overzicht van alle verwerkingen van persoonsgegevens die onder de verantwoordelijkheid van uw organisatie plaatsvinden. Zo’n register vermeldt het doel van de verwerking, hoe de data zijn verkregen en welke personen in het bedrijf de verwerking uitvoeren. Het opstellen van zo’n lijst vergt meestal grondig onderzoek. Persoonsgegevens kunnen overal in de organisatie terechtkomen. Denk aan HR-lijsten, e-mail of op de afdeling Finance.

4. Inventariseer welke organisatorische maatregelen verplicht zijn

De AVG verplicht organisaties tot het nemen van allerlei organisatorische maatregelen. Denk aan het uitvoeren van een DPIA (Data Protection Impact Assessment) en het aanstellen van een functionaris voor de gegevensbescherming (FG). Veel van die maatregelen, inclusief de zojuist genoemde, zijn alleen verplicht onder bepaalde omstandigheden. Ga na welke van deze maatregelen voor uw organisatie verplicht zijn. Dat is soms lastig, want de AP omschrijft niet altijd eenduidige voorwaarden.

5. Voer een nulmeting uit

Een goede manier om te inventariseren waar uw organisatie nu staat als het gaat om de veiligheid en beschikbaarheid van persoonsgegevens is het uitvoeren van een nulmeting. Inventariseer welke aspecten van uw bedrijfsvoering wel en niet voldoen aan de privacywetgeving. Ook vloeit hier een concreet actieplan uit voort. Vaak blijken de benodigde AVG-maatregelen best mee te vallen.

6. Neem technische en organisatorische maatregelen

Een securityrisicoanalyse verschaft inzicht in de risico’s die uw organisatie loopt, en welke maatregelen die risico’s kunnen beperken. Technische maatregelen zijn bijvoorbeeld de invoering van een deugdelijk patchbeleid, de implementatie van encryptievoorzieningen of het toepassen van netwerksegmentatie. Bij organisatorische maatregelen moet u denken aan het sluiten van verwerkersovereenkomsten of het aanstellen van een FG.

Een goed privacyverhaal

Van stilzitten wordt jouw organisatie niet compliant. Met een gestructureerde aanpak sta je op 25 mei 2018 steviger in je schoenen. Dat is belangrijk, want volgens de AVG-regelhulp van de AP kunt u als organisatie vanaf dat moment niet zonder een ‘goed privacyverhaal’.

Bron: Baaz.nl