AVG/GDPR – heet onderwerp, lauwe uitvoering

Op 25 mei 2018 gaat de nieuwe Europese privacyverordening AVG/GDPR in. Er is inmiddels veel over dit onderwerp gepubliceerd. Waarom dan weer een artikel? Veel mensen maken zich zorgen over de haalbaarheid binnen hun organisatie, vooral nu de deadline nadert. In de praktijk wordt de soep nooit zo heet gegeten als zij wordt opgediend. Maar je moet wel kunnen aantonen dat je ermee bezig bent.

Waar gaat het nu eigenlijk om bij de AVG/GDPR?

De AVG/GDPR is van toepassing op de persoonsgegevens van EU-burgers en/of gegevensverwerkers gevestigd in de EU. Persoonsgegevens zijn gegevens die kunnen verbonden worden aan een individu, of waarmee een individu kan worden geïdentificeerd: naam, foto, telefoonnummer, adres, bankrekeningnummer, e-mailadres, IP-adres, vingerafdruk, medische data, enzovoorts.

De volgende regels moeten worden gevolgd:

  • transparantie: vraag expliciet toestemming aan de persoon om de persoonsgegevens te bewaren, geef aan waarvoor je die gaat gebruiken en wijs de persoon op zijn/haar rechten;
  • doelbeperking: gebruik de persoonsgegevens alleen voor het doel waarvoor je de goedkeuring hebt gekregen van de eigenaar;
  • gegevensbeperking: verzamel alleen de noodzakelijke gegevens;
  • juistheid: zorg ervoor dat de persoonsgegevens correct zijn en blijven;
  • bewaarbeperking: bewaar de persoonsgegevens niet langer dan nodig voor het beoogde doel;
  • integriteit en vertrouwelijkheid: bescherm de persoonsgegevens tegen toegang door onbevoegden, verlies en vernietiging;
  • verantwoording: zorg ervoor dat je kunt aantonen aan deze regels te voldoen.

Checklist AVG/GDPR compliance

De basis van het principe achter de AVG/GDPR laat zich samenvatten tot twee hoofdprincipes:

  1. toepassing van de beginselen van gegevensbescherming door ontwerp (privacy by design)
  2. toepassing gegevensbescherming door standaardinstellingen (privacy by default)

Hiervoor moeten een aantal vragen beantwoord worden:

  • welke gegevens worden gebruikt en zijn ze echt nodig?
  • waarvoor worden de gegevens gebruikt?
  • waar en hoe worden de gegevens opgeslagen?
  • worden de gegevens versleuteld of anders ontkoppeld van de personen zelf?
  • hoe wordt de persoon van wie de gegevens worden verwerkt op de hoogte gesteld?
  • op welke manier wordt de toestemming verkregen en verwerkt?
  • hoe wordt voldaan aan de rechten van de persoon van wie de gegevens worden verwerkt?

Minimale inspanningen voor 25 mei 2018

Om te zorgen dat jouw bedrijf klaar is voor 25 mei, zijn er een aantal zaken die wel echt geregeld moeten zijn.

Aanstellen functionaris voor gegevensbescherming

Wijs Iemand aan als functionaris voor gegevensbescherming. Deze persoon is verantwoordelijk voor alles omtrent AVG/GDPR en moet ook volledige bevoegdheid krijgen om te kunnen zorgen dat het bedrijf de AVG/GDPR nakomt.

Inventariseer en maak een actieplan

Maak eerst een lijst van bedrijfsprocessen waar je persoonsgegevens verwerkt. Denk hierbij aan software zoals CRM/ERP, boekhouding en mailinglijsten, maar ook losse documenten. Beantwoord vervolgens de vragen genoemd bij Checklist AVG/GDPR compliance hierboven.

Geef vervolgens per onderdeel aan wat er moet gebeuren om te voldoen aan de AVG/GDPR en wanneer dat uiterlijk gedaan moet zijn.

Stel een procedure op voor datalekken

Al sinds 1 januari 2016 geldt de meldplicht datalekken. Deze is ook opgenomen in de AVG/GDPR. Daardoor is het verplicht om direct na kennisneming van het datalek melding hiervan te doen bij de Autoriteit Persoonsgegevens en binnen 72 uur een verslag op te stellen. De personen van wie de persoonsgegevens zijn gelekt moeten op de hoogte worden gebracht, tenzij de persoonsgegevens onbegrijpelijk waren gemaakt door pseudonimisering (zoals versleuteling).

Meldingen kunnen worden gemaakt via de website https://datalekken.autoriteitpersoonsgegevens.nl

Niet direct nodig, wel handig

Om te zorgen dat het inventarisatiewerk zich niet blijft opstapelen, is het verstandig om bij nieuwe verwerking van persoonsgegevens de vragen genoemd bij Checklist AVG/GDPR compliance hierboven al gelijk te beantwoorden, nog voor ingebruikname. Daarmee ben je bij nieuwe bedrijfsprocessen al direct verzekerd van compliance.

Nog even alles op een rijtje

Om klaar te zijn voor 25 mei 2018, zijn deze stappen voldoende:

  1. stel een functionaris voor gegevensbescherming aan;
  2. inventariseer en maak een actieplan;
  3. stel een procedure op voor datalekken.

Om volledig compliant te zijn, pas de regels toe op:

  1. bestaande bedrijfsprocessen volgens het actieplan;
  2. nieuwe bedrijfsprocessen, nog voor ingebruikname.

Wanneer een volledige compliancy check gewenst is, helpen wij je graag.

Aan deze publicatie kunnen geen rechten worden ontleend.

Auteur

Richard de Vroede

Een perfectionistische alleskunner die al zijn passie in zijn werk gooit.

Facebooktwittergoogle_pluslinkedin

Facebooklinkedinrssyoutube