Voor veel organisaties is de Algemene verordening gegevensbescherming (AVG), ook wel GDPR genoemd, nog altijd een ver-van-mijn-bedshow. Denk jij ook: ‘die geldt toch niet voor mij?’ Dan zit je er hoogstwaarschijnlijk naast. Bijna alle organisaties verwerken immers gegevens van klanten, cliënten, inwoners of medewerkers. Dit zijn de tips hoe je jezelf goed kunt gaan voorbereiden.
De Autoriteit Persoonsgegevens (AP) biedt hulp met de tool ‘AVG-regelhulp’. Organisaties krijgen met een to-dolijst aangereikt wat zij nog moeten doen om aan de AVG te voldoen. De zelftest is handig voor bedrijven die al bekend zijn met de Europese privacywet en de terminologie. Dat ligt anders voor bedrijven die nu pas voor het eerst met het onderwerp in aanraking komen. De gebruikte termen en het ‘boodschappenlijstje’ dat uit de regelhulp rolt, kunnen namelijk nogal overweldigend zijn.
GDPR: onderneem actie
Vanaf 25 mei 2018 moeten organisaties in ieder geval kunnen laten zien dat zij weten hoe ze compliance gaan regelen en welke stappen ze in welke volgorde zetten. Ze moeten kortom een goed ‘privacyverhaal’ hebben. Hoe je dat doet? Ik zet een aantal acties op een rij:
- Krijg inzicht in het type persoonsgegevens dat je verwerkt
Dit is niet geheel toevallig de eerste stap in de AVG-regelhulp van de AP: breng in kaart welke gegevens je verwerkt. Zonder dit inzicht weet je niet welke AVG-regels van toepassing zijn.
De kans is groot dat jouw organisatie persoonsgegevens verwerkt, maar misschien zitten daar zelfs wel bijzondere persoonsgegevens bij. Dat kunnen gegevens zijn die iets zeggen over iemands gezondheid, ras, geloof of seksuele voorkeur. Er is al sprake van een verwerking van bijzondere persoonsgegevens als je ziekteverzuim registreert.
- Inventariseer de datastromen
Zoals de AP in zijn regelhulp terecht opmerkt: verwerkingen van persoonsgegevens zijn zelden incidenteel. Denk alleen maar aan de gegevens die een bedrijf verwerkt van zijn eigen medewerkers, zoals naw-gegevens, gezondheidsgegevens of foto’s. Het gevolg is dat onder de AVG vrijwel iedere organisatie een ‘register van verwerkingsactiviteiten’ moet bijhouden.
Het aanleggen van een verwerkingsregister kan best een flinke klus zijn, zeker als je niet goed weet waar persoonsgegevens worden verwerkt. Persoonsgegevens kunnen bijvoorbeeld zitten in financiële datastromen, in klantstromen, in de eigen hr-stromen of buiten de organisatie. Daar kom je alleen achter als je op onderzoek uitgaat. Bijvoorbeeld door alle afdelingen te vragen de eigen datastromen op papier te zetten en die informatie bij elkaar te brengen.
Ook moet in het verwerkingsregister staan op welke ‘grondslag’ je persoonsgegevens verwerkt. Je hebt onder meer een goede reden als de betrokkene in alle vrijheid toestemming heeft gegeven voor de verwerking. Weet wel dat je behoorlijk veel expertise en kennis van de wetgeving moet hebben om te bepalen of een verwerking de juiste grondslag heeft. Dat kan lastig zijn als de grondslag niet evident is. Evident is bijvoorbeeld bij een verwerking op basis van een overeenkomst.
- Maak de juiste afwegingen
De AVG dwingt een organisatie tot keuzes. Is het bijvoorbeeld nodig om een functionaris voor de gegevensbescherming aan te stellen? En is het uitvoeren van data protection impact assessments (DPIA’s) verplicht?
De antwoorden op die vragen liggen niet altijd voor de hand. Zo is een DPIA verplicht als een gegevensverwerking ‘een hoog privacyrisico’ oplevert. Maar wanneer is er sprake van een hoog risico? Zowel de AVG als de regelhulp van de AP geven daar niet eenduidig een antwoord op.
- Kijk waar je staat
Uiteindelijk gaat het erom dat alle data, waaronder persoonsgegevens, veilig en beschikbaar zijn. Niet alleen omdat de wet dit eist, maar ook omdat klanten, medewerkers en de business dit verwachten.
Het uitvoeren van een nulmeting is een goed startpunt om erachter te komen hoe jouw security ervoor staat. Zo kan een ‘Privacy Quickscan’ veel inzichten verschaffen. Zo’n scan bekijkt onder andere aan welke vereisten uit de AVG je al wel of nog niet voldoet. Het resultaat is een actieplan waarmee je door de bomen het bos weer ziet. En dan blijkt de AVG minder eng dan je denkt.
- Implementeer organisatorische en technische maatregelen
Aan de hand van een securityrisicoanalyse breng je in kaart wat de meest relevante risico’s zijn voor de organisatie, en welke maatregelen nodig zijn om die risico’s af te dekken. De bevindingen komen ook terug in een uitgebreid risk report voor informatiebeveiliging.
In de regelhulp geeft de AP al heel wat voorbeelden van ‘noodzakelijke’ technische en organisatorische securitymaatregelen. Als voorbeelden van technische maatregelen noemt de privacywaakhond patchmanagement, het up-to-date houden van software, versleuteling van gegevens en het gebruik van firewalls en toepassing van netwerksegmentatie. Voorbeelden van organisatorische maatregelen zijn het bevorderen van het beveiligingsbewustzijn, het regelmatig controleren van logbestanden en het sluiten van verwerkersovereenkomsten.
Toon jouw plannen
Ook voor dit laatste punt geldt weer dat veel organisaties nog een lange weg te gaan hebben. Vaak is zelfs het beleidsdocument voor informatiebeveiliging niet aanwezig. Dit is echter zeker geen reden om bij de pakken neer te gaan zitten. Niets doen is geen optie. Als je meer wilt weten over de te nemen stappen om te voldoen aan de GDPR, kun je deze whitepaper downloaden.
Wie nu gestructureerd aan de slag gaat, kan op 25 mei 2018 in ieder geval een plan laten zien dat leidt tot AVG-compliance. Of zoals de AP het in de introductie op de AVG-regelhulp zelf zegt: zorg ervoor dat je als organisatie een goed privacyverhaal hebt. Zodat privacybescherming gaandeweg ‘business as usual’ wordt.
The post AVG: zo zorg je voor een goede privacyverantwoording appeared first on Profnews.nl.