De AVG zorgt voor grote opschudding omdat deze nieuwe privacywetgeving impact heeft op uw hele organisatie. Het gaat namelijk in de basis om het verwerken en verspreiden van informatie. En dat vindt plaats in alle geledingen van uw organisatie, óók ver buiten het gezichtsveld van de afdeling juridische zaken. Daarom is een belangrijke eerste stap op de weg naar AVG-compliance het zorgen dat de juiste mensen in uw organisatie op de hoogte zijn van de eisen. Deze sleutelfiguren moeten een inschatting maken van de gevolgen die de AVG heeft in dat deel van de organisatie waar zij verantwoordelijk voor zijn. De standaard vragenlijst helpt u met het identificeren van uw risico’s.

In deze stap voldoet u aan de verplichting een risicoanalyse voor gegevensverwerking per systeem uit te voeren. Per risico kunt u aangeven wat de impact en ernst van een risico is, zodat u een prioritering kunt aanbrengen bij te nemen beheersmaatregelen. Tevens toetst u zo ‘*privacy by design*’ en ‘*privacy by default*’ van uw systemen. De uitvoering van deze PIA’s wordt door veel organisatie als belastend ervaren. Daarom biedt onze oplossing u een standaard PIA (vervaardigd door de NOREA) en softwarematige ondersteuning bij het invullen en verwerken van de resultaten. Efficiënt en doelmatig.

• Privacy-by-design ziet op het tijdens het ontwerp van processen en systemen al rekening te houden met privacyaspecten. Lange tijd was het zo dat privacy als een (lastige) bijkomstigheid werd gezien. Veilige systemen vereisen echter dat al in de ontwerpfase wordt nagedacht over privacyaspecten, bijvoorbeeld door het toepassen van versleutelingstechnieken en meer geavanceerde methodes van identificatie en authenticatie van gebruikers.
• Privacy-by-default wil zeggen dat alle privacybeschermende opties standaard aan staan. Dit is in nogal wat applicaties niet het geval, denk daarbij bijvoorbeeld aan de apps die u installeert op uw telefoon.

De personen waarvan u de gegevens verwerkt krijgen recht op:

• Informatie
• Inzage
• Rectificatie
• Overdraagbaarheid
• Vernietiging van gegevens
• Indienen van bezwaar

Deze rechten zijn een uitdaging voor nagenoeg alle organisaties en systemen, daarbij aantekenend dat ze ook zien op papieren vastleggingen en gegevens die u bij externe dienstverleners heeft ondergebracht. Van uw externe dienstverleners zult moeten eisen dat ze uw organisatie in staat stellen om inzicht te geven in de verwerkte persoonsgegevens, deze verwerking aan te passen of zelfs te beëindigen. Daarnaast brengt de AVG verschillende verplichtingen met zich mee, waaronder het bijhouden van een dataregister en - in bepaalde omstandigheden - het aanstellen van een Data Protection Officer. Uiteraard loopt u risico’s bij de verwerking van persoonsgegevens. Het is daarom van belang dat u die risico’s tijdig onderkent en maatregelen treft om ze te voorkomen en waar nodig de effecten ervan te beperken.

U moet een dataregister van alle persoonsgegevens bijhouden. Dit register geeft inzicht in de verwerkingen van persoonsgegevens door uw eigen organisatie, maar óók door organisaties waaraan u uw dataverwerking heeft uitbesteed. Focus bij het dataregister niet alleen op HR- of CRM-systemen, maar zeker óók op alle digitale kanalen en bijbehorende marketingtools. Enkele aspecten van het data register zijn:

• Aard van de verwerkte gegevens
• Doelstelling voor de verwerking
• Wettelijke grondslag/toestemming voor verwerking inclusief vastlegging wet- en regelgeving
• Systemen waarop de verwerking plaatsvindt
• Outsourcing van de verwerking, inclusief AVG-conforme bewerkersovereenkomst
• Migratie van data naar het buitenland
• Bewerkingsverantwoordelijke

De Data Protection Officer (DPO) zorgt intern voor naleving van de AVG en is in voorkomende gevallen de contactpersoon voor de autoriteiten. De ondergrens van 250 medewerkers of 5.000 datarecords uit de eerste versies van de AVG staat niet meer in de AVG, maar is wel een goede richtlijn om te bepalen of uw organisatie een DPO moet hebben. Zeker voor kleinere organisaties zal het instellen van een DPO kostbaar zijn. U kunt dan kijken naar de mogelijkheid van het *uitbesteden* van deze functie. Zeker in combinatie met het gebruik van software ter ondersteuning van uw AVG-compliance, is dit een reële mogelijkheid. We zijn graag bereid om u hierover nader te informeren.

Naast het vastleggen is het van belang regelmatig te toetsen of de beheersmaatregelen ook daadwerkelijk effectief zijn. Deze 4^e stap ondersteunt het regelmatig toetsen van de werking van deze maatregelen. Eventuele issues of bevindingen neemt u mee in uw incidentregister.

De AVG vereist dat uw organisatie processen en beheersmaatregelen heeft om datalekken te herkennen, binnen 72 uur te melden bij de autoriteit en bij mogelijke schade de betrokkenen in te lichten. Van belang is hier om daar waar risico's bestaan taken, bevoegdheden en verantwoordelijkheden te benoemen, deze te documenteren en zorg te dragen voor continu monitoring op de werking van getroffen maatregelen. Uw organisatie moet kunnen aantonen correct te handelen bij een datalek. Deze documentatie is overigens ook nodig voor cyberverzekeringen. Datalekken kunnen grote schade toebrengen. Om kosten te voorkomen of bij uw verzekering te kunnen claimen zult u moeten kunnen aantonen al het realistisch mogelijke te hebben gedaan om de schade te voorkomen en te beperken. Het voeren van een incidentenregistratie is dan ook aan te bevelen.

Het naleven van de AVG is niet een eenmalige aangelegenheid, maar een continu proces. Alle voorgaande stappen moeten daarom ook een vanzelfsprekend onderdeel worden uw organisatie. Leg daarom kaders, processen en verantwoordelijkheden vast in uw informatiebeveiligingsbeleid.

Als u een softwaretoepassing gebruikt ter ondersteuning van uw AVG Control Framework, kunt in daarin zien of u voldoende in control bent. Daarnaast kunt u rapportages maken waarmee u kunt aantonen dat u op de juiste wijze omgaat met persoonsgegevens en dat u compliant bent.