Laatste update op 24 juni 2018

De nieuwe Algemene Verordening Gegevensbescherming – een voortzetting van de Wbp – gaat in mei 2018 in. Moet u iets doen?

Vast wel. Iedere organisatie die persoonlijke gegevens verwerkt, moet bepaalde zaken in kaart hebben gebracht en beleid hebben geformuleerd over hoe er met persoonlijke gegevens wordt omgegaan (uiteraard binnen de wettelijke kaders). Zelfs de sportvereniging, want: ledenadministratie.

Gelukkig kan het best zijn dat u niet veel hoeft te doen. Organisaties moeten natuurlijk al voldoen aan de Wbp en de meldplicht datalekken. Er komen een paar extra zaken bij die u geregeld moet hebben. Dat kan erg meevallen, afhankelijk van de grootte van uw organisatie, de soort organisatie en de hoeveelheid en gevoeligheid van de gegevens die u verwerkt.

10 stappen naar compliance

In tien stappen kunt u aan de AVG voldoen (in de meeste punten wordt door mij al voorzien in het bij punt 1 vermelde plan van aanpak):

  1. zorg voor bewustwording (directie/bestuur en medewerkers)
    formuleer beleid, maak een plan van aanpak en maak (structureel) budget vrij voor implementatie
  2. zorg voor een verwerkingenregister
    maak een overzicht van alle verwerkingen van persoonsgegevens en houd deze actueel
  3. maak een privacy impact assessment (PIA)
    voor kleinere organisaties kan dat op een A4’tje – uit dit assessment blijkt waar de risico’s op een datalek bij uw organisatie zitten en waar u maatregelen moet nemen
  4. bekijk of u niet meer data verzamelt dan nodig en of u de gegevens mag verzamelen
    dataminimalisatie is het uitgangspunt; Privacy by Design/Privacy by Default
  5. bepaal of u een FG/DPO moet aanstellen
    bijvoorbeeld overheden en publieke organisaties zijn daartoe verplicht
  6. maak een protocol voor het omgaan met datalekken
    zorg voor een goed systeem om datalekken te documenteren (en zo nodig te melden)
  7. zorg ervoor dat u een verwerkersovereenkomst sluit als u data elders verzamelt
    bijvoorbeeld met de hostingprovider, de cloudaanbieder en de verwerker van de personeelsadministratie (niet met organisaties waar u gegevens mee uitwisselt als die uitwisseling niet de primaire opdracht is, maar een uitvloeisel daarvan)
  8. zorg voor adequate beveiliging
    voorkom technische kwetsbaarheden en houd uw IT-beveiliging up-to-date
  9. zorg voor transparantie in uw communicatie
    wat doet u met de verzamelde gegevens/zorg voor een heldere privacyverklaring
  10. zorg voor een managementsysteem/incidentenbeheer
    hierin kunt u de verwerkingen actueel houden en datalekken documenteren en de voortgang bewaken

De hierboven genoemde stappen volgen grotendeels het stappenplan zoals de AP dat op haar site heeft vermeld. Wat daar niet specifiek staat beschreven, maar wat wel erg belangrijk is: zorg voor bewustwording bij uw personeel. De hoogte van het te behalen veiligheidsniveau wordt uiteindelijk bepaald door de medewerkers van uw organisatie. Als uw personeel weet waar het op moet letten en als men weet hoe belangrijk directie en bestuur dat vinden, zorgt u voor een veel kleiner risico op een datalek.

Veel praktische informatie vind u op de website van de Autoriteit Persoonsgegevens (de AP).

Hulp nodig?

Vraag mij om u te assisteren. Ik kan u helpen bij o.a.:

  • het maken van een plan van aanpak waaruit snel blijkt welke stappen u moet zetten om volgens de AVG te werken en te blijven werken;
  • het maken van een verwerkingenregister met de mogelijkheid een eventueel datalek te documenteren;
  • het schrijven van een goed en helder privacy-statement;
  • het geven van trainingen voor privacy-awareness voor uw personeel.

U kunt mij bovendien aanstellen voor een x-aantal uren per week/maand/jaar als DPO. Ook als dat niet per se verplicht is volgens de AVG kan dit een goede keuze zijn.

 

Categorieën: nieuws