Laatste update op 25 november 2017

De nieuwe Algemene Verordening Gegevensbescherming – een voortzetting van de Wbp – gaat in mei 2018 in. Moet u iets doen?

Vast wel. Iedere organisatie die persoonlijke gegevens verwerkt, moet bepaalde zaken in kaart hebben gebracht en beleid hebben geformuleerd over hoe er met persoonlijke gegevens wordt omgegaan (uiteraard binnen de wettelijke kaders). Zelfs de sportvereniging, want: ledenadministratie.

Gelukkig kan het best zijn dat u niet veel hoeft te doen. Organisaties moeten natuurlijk al voldoen aan de Wbp en de meldplicht datalekken. Er komen een paar extra zaken bij die u geregeld moet hebben. Dat kan erg meevallen, afhankelijk van de grootte van uw organisatie en de gevoeligheid van de gegevens die u verwerkt.

10 stappen naar compliance

In tien stappen kunt u aan de AVG voldoen (de meeste worden al meegenomen in het bij punt 1 vermelde plan van aanpak):

  1. zorg voor bewustwording (directie/bestuur en medewerkers)
    maak een plan van aanpak, formuleer beleid en maak budget vrij
  2. zorg voor een verwerkingenregister
    maak een overzicht van alle verwerkingen van persoonsgegevens en houd deze actueel
  3. maak een privacy impact assessment (PIA)
    voor kleinere organisaties kan dat op een A4’tje – uit dit assessment blijkt waar de risico’s op een datalek bij uw organisatie zitten en waar u maatregelen moet nemen
  4. bekijk of u niet meer data verzamelt dan nodig en of u de gegevens mag verzamelen
    dataminimalisatie is het uitgangspunt; Privacy by Design/Privacy by Default
  5. bepaal of u een FG/DPO moet aanstellen
    bijvoorbeeld overheden en publieke organisaties zijn daartoe verplicht
  6. maak een protocol voor het omgaan met datalekken
    zorg voor een goed systeem om datalekken te documenteren (en zo nodig te melden)
  7. zorg ervoor dat u een verwerkersovereenkomst sluit als u data elders verzameld
    bijvoorbeeld met de hostingprovider, de cloudaanbieder en de verwerker van de personeelsadministratie
  8. zorg voor adequate beveiliging
    voorkom technische kwetsbaarheden en houd uw IT-beveiliging up-to-date
  9. zorg voor transparantie in uw communicatie
    wat doet u met de verzamelde gegevens/zorg voor een heldere privacyverklaring
  10. zorg voor een managementsysteem/incidentenbeheer
    hierin kunt u de verwerkingen actueel houden en datalekken documenteren en de voortgang bewaken

De hierboven genoemde stappen volgen grotendeels het stappenplan zoals de AP dat op haar site heeft vermeld. Wat daar niet specifiek staat beschreven, maar wat wel erg belangrijk is: zorg voor bewustwording bij uw personeel. De hoogte van het te behalen veiligheidsniveau wordt uiteindelijk bepaald door de medewerkers van uw organisatie. Als uw personeel weet waar het op moet letten en als men weet hoe belangrijk directie en bestuur dat vinden, zorgt u voor een veel kleiner risico op een datalek.

Veel praktische informatie vind u op de website van de Autoriteit Persoonsgegevens (de AP).

Hulp nodig? Vraag mij om u te assisteren. Ik maak samen met uw medewerkers een plan van aanpak waaruit snel blijkt welke stappen u moet zetten om volgens de AVG te werken en te blijven werken.

 

Categorieƫn: nieuws