Voorbereid op de AVG?

‘We zijn ermee bezig’
Lees Blog

Veel organisaties hanteren een te nauwe blik als het gaat om de voorbereidingen voor de AVG/GDPR. Gevaarlijk, want met een enkelzijdige focus is compliance in vrijwel alle gevallen onhaalbaar.

AVG / GDPR Whitepaper

De nieuwe privacywetgeving nadert nu snel. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Wat is het meest gehoorde antwoord op de vraag: “Zijn jullie al voorbereid op de AVG/GDPR?” Het antwoord is ontluisterend vaak een onzekere blik en de veelzeggende opmerking: “We zijn ermee bezig.” Wanneer je vervolgens doorvraagt blijkt dat ze zich concentreren op een enkel aspect van dataprivacy, bijvoorbeeld gegevensencryptie en het proberen op orde te brengen van alle verwerkersovereenkomsten.

Vanaf mei 2018 treedt de nieuwe Europese privacywetgeving in werking. Hiermee wil de EU met name de consument meer rechten en controle geven over zijn of haar persoonsgegevens, en daarmee over zijn of haar privacy. Het is een ‘update’ van de Europese Privacyrichtlijn uit 1995 (nr. 95/46/EG). Dit oude richtsnoer, op basis waarvan EU-landen hun nationale privacywetgeving hebben gebaseerd, voldeed niet meer aan dit verregaand gedigitaliseerde digitale tijdperk.

De AVG/GDPR brengt veel grote veranderingen met zich mee. De 99 artikelen van deze nieuwe wetgeving beslaan diverse aspecten waar organisaties rekening mee moeten houden. De belangrijkste aandachtsgebieden op een rij:

1. Relatie met de betrokkenen

De AVG/GDPR zet de rechten en de privacybescherming van de betrokkenen centraal. Zij krijgen veel meer te zeggen over hun eigen gegevens. Zo kunnen ze op ieder moment al hun data opvragen of de verwerking stopzetten. De organisatie moet aan die verzoeken ‘onverwijld’ en afhankelijk van het verzoek uiterlijk binnen enkele dagen kunnen voldoen. Dat stelt hoge eisen aan de inrichting van de datahuishouding, zelfs die van de back-up. Organisaties moeten bovendien volledig transparant zijn richting de betrokkene over wat zij met de data doen, en met welk doel dat gebeurt.

2. Relatie met verwerkers / IT-partners

Er is vrijwel niemand meer die zijn volledige data- en IT-huishouding in-house beheert. De cloud wordt alsmaar populairder. Ook zaken als de boekhouding en salarisadministratie worden vaak uitbesteed. Wanneer deze externe verwerkers (cloudproviders/salarisadministratiekantoren etc.) ook persoonsgegevens verwerken, dan moeten er met hen goede afspraken worden gemaakt. Met name over welke maatregelen zijn hebben genomen om de gegevens van de betrokkenen de beschermen. Dat gebeurt middels een verwerkersovereenkomst.

3. Interne verantwoordelijkheidsstructuren

De AVG/GDPR stelt eisen aan de interne verantwoordelijkheidsverdeling. Zo moeten organisaties die persoonsgegevens verwerken en meer dan 200 medewerkers hebben verplicht een onafhankelijke privacyverantwoordelijke aanstellen: een Data Protection Officer (DPO), ofwel Functionaris Gegevensbescherming (FG). Deze persoon is verantwoordelijk voor het privacybeleid. Overige organen moeten bovendien aan deze persoon aantonen dat ze voldoen aan de privacywetgeving. Dat concept noemen we de interne verantwoordingsplicht.

4. Gecontroleerde datavergaring

De AVG/GDPR stelt paal en perk aan het ongebreideld verzamelen van persoonsgegevens. De wetgeving gaat uit van een minimalisatie van verwerkingen. Dat betekent dat organisaties niet meer data mogen verzamelen dan strikt noodzakelijk voor het beoogde en afgesproken doel. Persoonsgegevens die niet meer noodzakelijk zijn voor dat doel, moeten per direct verwijderd worden.

5. Preventieve maatregelen

De AVG/GDPR verwacht dat organisaties preventieve maatregelen nemen om de privacy van betrokkenen zo goed mogelijk te garanderen. Denk daarbij aan een vastgesteld protocol bij een datalek, maar ook aan een sterk wachtwoordbeleid en bijvoorbeeld aan security-awarenesstrainingen voor medewerkers. Producten en diensten moeten bovendien zijn ontworpen en geconfigureerd met de privacy van de betrokkene als uitgangspunt. Bij risicovolle verwerkingen is een onderzoek vooraf verplicht.

6. Technische en organisatorische maatregelen

Naast preventieve maatregelen vereist de AVG/GDPR ook technische en organisatorische maatregelen om de privacy van betrokkenen te beschermen. Technische maatregelen zijn bijvoorbeeld securitymiddelen als een slimme firewall, beveiligde netwerkverbindingen, encryptie en authenticatievoorzieningen. Een organisatorische maatregel is bijvoorbeeld het opstellen van een verwerkingsregister, waarin nauwkeurig is aangegeven welke data door wie en met welk doel worden verwerkt.

7. Vergeet papier niet

De AVG/GDPR heeft niet enkel betrekking op digitale gegevens. Ook persoonsgegevens op papier vallen hieronder. Dat kan gevolgen hebben voor bijvoorbeeld papieren mailings, de omgang met inkomende en uitgaande poststukken, papieren dossiervorming en afspraken over het printbeleid.

Geen ‘quick fix’

Bovenstaande spreekt voor zich: de AVG/GDPR heeft invloed op allerlei beleidsterreinen binnen organisaties. De focus op enkel encryptie, enkel het opstellen van een verwerkersovereenkomst of het aanschaffen van een gloednieuwe firewall is op zichzelf nooit voldoende. Compliance is geen ‘quick fix’, maar een keten van aandachtspunten, acties en optimalisaties die in elkaar grijpen, elkaar aanvullen en op elkaar volgen.

Geen gemakkelijke taak, dat beseffen we bij YourSafetynet maar al te goed. Daarom leveren wij een oplossing die deze taak eenvoudiger maakt. Onze wizard leidt je stap-voor-stap door al die aandachtspunten en zorgt middels de heldere opzet dat je geen stappen overslaat. Dat is enorm belangrijk, want uiteindelijk is je privacybeleid net zo sterk als de zwakste schakel.

AVG: Wij helpen je op weg

Je zult begrijpen: de AVG is van enorme invloed op de organisatie. Wil je weten hoe YourSafetynet jouw organisatie hierbij kan helpen? Neem dan contact met ons op.

YourPrivacy - Dit moet u weten over de Privacywetgeving

YourPrivacy

YourSafetynet heeft onlangs het magazine YourPrivacy uitgegeven. Deze editie richt zich geheel op privacyproblematiek rondom datalekken en compliance-issues met de AVG/GDPR. Het magazine is kosteloos en zonder enige verplichting te downloaden.

Privacymaatregelen? Vergeet het papier niet

Met de deadline voor de AVG / GDPR in het vooruitzicht zijn veel bedrijven druk doende met de noodzakelijke voorbereidingen. Daarbij focussen velen enkel op de digitale datahuishouding en is papier een ondergeschoven kindje. Dat kan allerlei vervelende gevolgen hebben en leidt in ieder geval niet tot volledige compliance.

Is de accountant verwerkingsverantwoordelijke of verwerker?

Accountants krijgen vanaf 25 mei zonder uitzondering te maken met de nieuwe Europese privacywetgeving (AVG/GDPR). Wat dat precies betekent voor de dagelijkse praktijk, hangt voor een groot deel af van een belangrijke factor: of de accountant tijdens een opdracht de rol van externe verwerker of die van verwerkingsverantwoordelijke aanneemt.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

De nieuwe privacywetgeving nadert nu snel. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.