AVG: Tijd voor actie!

Op dit moment zijn we nog maar een aantal maanden verwijderd van de invoering van de General Data Protection Regulation (GDPR), ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG). Er rest dus nog maar weinig tijd voor organisaties om zich voor te bereiden. Maar hoe kunt u er nu voor zorgen dat uw organisatie AVG-compliant wordt? Als u ernaar op zoek gaat zult u legio aanbevelingen en adviezen vinden. Vaak zijn deze fragmentarisch en beslaan ze slechts onderdelen van het AVG-speelveld.

Een praktische oplossing

Du ROI Audit & Monitoring heeft een complete oplossing ontwikkeld die u helpt om in zes eenvoudige stappen uw AVG-vraagstuk op te lossen. Elke wordt ondersteund vanuit slimme software, waarin een groot aantal standaarddocumenten en formulieren zijn opgenomen. U kunt daardoor snel en gericht werken, zodat zelfs dit complexe vraagstuk hanteerbaar wordt.

Du ROI Audit & Monitoring heeft een 6-tal pragmatische stappen geïdentificeerd die elke onderneming, groot of klein, moet ondernemen vóór de komst van de AVG.

Stap 1. Bewustwording

De AVG zorgt voor grote opschudding omdat deze nieuwe privacywetgeving impact heeft op uw hele organisatie. Het gaat namelijk in de basis om het verwerken en verspreiden van informatie. En dat vindt plaats in alle geledingen van uw organisatie, óók ver buiten het gezichtsveld van de afdeling juridische zaken. Daarom is een belangrijke eerste stap op de weg naar AVG-compliance het zorgen dat de juiste mensen in uw organisatie op de hoogte zijn van de eisen. Deze sleutelfiguren moeten een inschatting maken van de gevolgen die de AVG heeft in dat deel van de organisatie waar zij verantwoordelijk voor zijn. De standaard vragenlijst helpt u met het identificeren van uw risico’s.

Stap 2. Privacy-Impact-Assessments (PIA)

In deze stap voldoet u aan de verplichting een risicoanalyse voor gegevensverwerking per systeem uit te voeren. Per risico kunt u aangeven wat de impact en ernst van een risico is, zodat u een prioritering kunt aanbrengen bij te nemen beheersmaatregelen. Tevens toetst u zo ‘privacy by design’ en ‘privacy by default’ van uw systemen. De uitvoering van deze PIA’s wordt door veel organisatie als belastend ervaren. Daarom biedt onze oplossing u een standaard PIA (NOREA) en softwarematige ondersteuning bij het invullen en verwerken van de resultaten. Efficiënt en doelmatig.

Wat is privacy-by-design en privacy-by-default?

  • Privacy-by-design ziet op het tijdens het ontwerp van processen en systemen al rekening te houden met privacyaspecten. Lange tijd was het zo dat privacy als een (lastige) bijkomstigheid werd gezien. Veilige systemen vereisen echter dat al in de ontwerpfase wordt nagedacht over privacyaspecten, bijvoorbeeld door het toepassen van versleutelingstechnieken en meer geavanceerde methodes van identificatie en authenticatie van gebruikers.

  • Privacy-by-default wil zeggen dat alle privacybeschermende opties standaard aan staan. Dit is in nogal wat applicaties niet het geval, denk daarbij bijvoorbeeld aan de apps die u installeert op uw telefoon.

Stap 3. Control Framework

De AVG verplicht u tot het vastleggen van veel informatie. Omdat te vereenvoudigen leveren we een standaard AVG Control Framework inclusief templates voor alle vereiste gegevens.

Dataregister

U moet bijvoorbeeld een dataregister van alle persoonsgegevens bijhouden. Dit register geeft inzicht in de verwerkingen van persoonsgegevens door uw eigen organisatie, maar óók door organisaties waaraan u uw dataverwerking heeft uitbesteed. Focus bij het dataregister niet alleen op HR- of CRM-systemen, maar zeker óók op alle digitale kanalen en bijbehorende marketingtools. Enkele aspecten van het data register zijn:

  1. Aard van de verwerkte gegevens

  2. Doelstelling voor de verwerking

  3. Wettelijke grondslag/toestemming voor verwerking inclusief vastlegging wet- en regelgeving

  4. Systemen waarop de verwerking plaatsvindt

  5. Outsourcing van de verwerking, inclusief AVG-conforme bewerkersovereenkomst

  6. Migratie van data naar het buitenland

  7. Bewerkingsverantwoordelijke

Risico’s en Beheersmaatregelen

Uiteraard loopt u risico’s bij de verwerking van persoonsgegevens. Het is daarom noodzaak dat u die risico’s (onder)kent en dat u maatregelen neemt om de risico’s te voorkomen of waar nodig de effecten van het risico te beperken mocht het zich toch voordoen. Om de dataprivacy en -security te waarborgen legt u een reeks van beheersmaatregelen vast, van wachtwoordprocedures, fysieke beveiliging tot de wijze van informeren van de klant (het datasubject) en het ondersteunen van de rechten van het datasubject. De AVG vereist dat elke klant, werknemer of gebruiker begrijpt wat er gebeurt met zijn of haar persoonsgegevens. U kunt dat niet meer regelen in voorwaarden, een privacyverklaring of ergens op uw website. De AVG verlangt dat u deze helderheid expliciet en ondubbelzinnig aan alle belanghebbenden verstrekt. Sterker nog: u zult desgevraagd aan de autoriteiten moeten kunnen tonen dat u dit op de juiste wijze heeft gedaan. Het verdient aanbeveling om het Privacy Statement van uw organisatie te herzien en aan te vullen.

De personen waarvan u de gegevens verwerkt krijgen recht op:

  • Informatie

  • Inzage

  • Rectificatie

  • Overdraagbaarheid

  • Vernietiging van gegevens

  • Indienen van bezwaar

Deze rechten zijn een uitdaging voor nagenoeg alle organisaties en systemen, daarbij aantekenend dat ze ook zien op papieren vastleggingen en gegevens die u bij externe dienstverleners heeft ondergebracht. Op dit moment zult u daarom naar alle waarschijnlijkheid niet compliant kunnen zijn aan de AVG.

Van uw externe dienstverleners zult moeten eisen dat ze uw organisatie in staat stellen om inzicht te geven in de verwerkte persoonsgegevens, deze verwerking aan te passen of zelfs te beëindigen. Dit zou kunnen resulteren in een wissel van dienstverlener. Een organisatie kan het zich namelijk niet permitteren om AVG-risico's te lopen of de organisatie te belasten met het handmatig naleven van deze rechten.

Data Protection Officer

De Data Protection Officer (DPO) zorgt intern voor naleving van de AVG en is in voorkomende gevallen de contactpersoon voor de autoriteiten. De ondergrens van 250 medewerkers of 5.000 datarecords uit de eerste versies van de AVG staat niet meer in de AVG, maar is wel een goede richtlijn om te bepalen of uw organisatie een DPO moet hebben. Zeker voor kleinere organisaties zal het instellen van een DPO kostbaar zijn. U kunt dan kijken naar de mogelijkheid van het uitbesteden van deze functie. Zeker in combinatie met het gebruik van software ter ondersteuning van uw AVG-compliance, is dit een reële mogelijkheid. We zijn graag bereid om u hierover nader te informeren.

Stap 4. Audits

Naast het vastleggen is het van belang regelmatig te toetsen of de beheersmaatregelen ook daadwerkelijk effectief zijn. Deze 4e stap ondersteunt het regelmatig toetsen van de werking van deze maatregelen. Eventuele issues of bevindingen neemt u mee in uw incidentregister.

Stap 5. Incidenten

De AVG vereist dat uw organisatie processen en beheersmaatregelen heeft om datalekken te herkennen, binnen 72 uur te melden bij de autoriteit en bij mogelijke schade de betrokkenen in te lichten. Van belang is hier om daar waar risico's bestaan taken, bevoegdheden en verantwoordelijkheden te benoemen, deze te documenteren en zorg te dragen voor continu monitoring op de werking van getroffen maatregelen. Uw organisatie moet kunnen aantonen correct te handelen bij een datalek. Deze documentatie is overigens ook nodig voor cyberverzekeringen. Datalekken kunnen grote schade toebrengen. Om kosten te voorkomen of bij uw verzekering te kunnen claimen zult u moeten kunnen aantonen al het realistisch mogelijke te hebben gedaan om de schade te voorkomen en te beperken. Het voeren van een incidentenregistratie is dan ook ten zeerste aan te bevelen.

Stap 6. Laat zien

Een dashboard laat u vervolgens zien of u nog voldoende in control bent. Uiteraard kunt u rapportages maken die voor u intern of ook voor uw externen aantonen dat u op de juiste wijze omgaat met persoonsgegevens en u compliant bent.

Het naleven van de AVG is niet een eenmalige aangelegenheid, maar een continu proces. Alle voorgaande stappen moeten daarom ook een vanzelfsprekend onderdeel worden van het gegevensverwerkend proces in uw organisatie. Leg daarom kaders, processen en verantwoordelijkheden vast in uw informatiebeveiligingsbeleid.

du ROI Audit & Monitoring werkt samen met RiskRhino voor diverse opdrachtgevers aan het implementeren van bovenstaande stappen. Deze klanten zien met vertrouwen het komende jaar én de toekomst ná 25 mei 2018 tegemoet. Waarom zou u nog langer wachten? U kunt met ons direct aan de slag!

Neem vandaag nog contact met ons op via wil.peters@duroi.amof bel en plan een afspraak.

du ROI werkt nauw samen met RiskRhino. RiskRhino heeft een uitstekende applicatie ontwikkeld die is gericht op het in control zijn voor de AVG. Kijk voor meer informatie op www.riskrhino.com.