18.12.2017

De 10 topics van AVG-compliance

Het is bijna zover. Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Vanaf dat moment gelden er nieuwe regels voor de omgang met de wet op privacy van persoonsgegevens. Is uw organisatie al AVG compliant?

Bewustwording

Bewustwording van de gevaren omtrent het lekken van persoonsgegevens is niet wettelijk verplicht, maar wel een belangrijke eerste stap naar AVG compliancy. Bewustzijn verlaagt het risico op het niet naleven van wettelijke eisen en intern beleid.
Zet de volgende punten in uw agenda, om zo bewustzijn te bewerkstelligen;

Lees ook: In 5 stappen bewustzijn creëren voor een juiste naleving van de AVG

  • Bepaal op welke onderwerpen bewustzijn gecreëerd moet worden
  • Meet het huidige bewustzijn
  • Bepaal het gewenste effect van bewustzijn
  • Stel een bewustwordingscampagne op en voer deze uit
  • Meet de resultaten van de bewustwordingscampagne

Rechten en plichten

De personen waar u de gegevens van verzameld, hebben bepaalde rechten. Dit klinkt misschien wat voor de hand liggend, toch moet hier wel degelijk rekening mee gehouden worden. Want op het moment dat iemand zich op dit recht beroept, is het zaak dat uw organisatie op de juiste manier weet te handelen. Bij het implementeren van de AVG vereisten moet dus gedacht worden aan informatieplichten, de rechten van betrokkenen en de verplichtingen van de verantwoordelijken.

Overzichtelijke verwerking van persoonsgegevens

Elke organisatie is verplicht om een register bij te houden waarin alle verwerkingsactiviteiten van alle persoonsgegevens worden geregistreerd. Dit register bevat een aantal verplichte elementen en is verder vormvrij. Richt dit register in en ontsluit de informatie aan de organisatie.

De verplichte elementen zijn;

  • Contactgegevens van de verwerkingsverantwoordelijke en de Fuctionaris Gegevensbescherming
  • Verwerkingsdoelen
  • Wat vernietigingstermijnen zijn
  • Of de gegevens worden verstrekt buiten de EU

Het is ook belangrijk om categorieën aan te maken van:

  • Betrokkenen
  • Persoonsgegevens
  • Ontvangers

Bewerkersovereenkomst

Hoe gaat uw organisatie om met de bewerkers van persoonsgegevens? Hoe bewerken zij het overzichtelijke persoonsregister? Welke eisen worden aan hen gesteld? Om een goede bewerkersovereenkomst op te stellen kunnen de volgende stappen gezet worden;

  • Evalueer het beleid
  • Maak een overzicht van bewerkers
  • Inventariseer bewerkersovereenkomsten
  • Beoordeel de bewerkersovereenkomsten
  • Bepaal een aanpassingsstrategie
  • Voer de benoemde acties uit

Privacy Impact assessment

Privacy Impact Assessments (PIA’s) zijn analyses waarmee organisaties de privacyrisico’s van een project of nieuwe verwerking direct inventariseren. Met de nieuwe vereisten van de AVG wordt het uitvoeren van PIA’s verplicht. Wanneer u een PIA wilt laten uitvoeren is het belangrijk om daarvoor de juiste persoon aan te stellen. Deze persoon moet niet alleen kennis hebben van het project, maar ook op de hoogte zijn van de principes omtrent de wet op privacy van persoonsgegevens. De Functionaris Gegevensbescherming kan hier een waardevolle rol in spelen.

Lees ook; AVG compliant met PIA’s

Functionaris Gegevensbescherming

De Functionaris Gegevensbescherming (FG) fungeert als de interne toezichthouder op de juiste naleving van de AVG en andere privacyregelgevingen. De FG heeft daarnaast ook andere primaire taken als;

  • Het behandelen van vragen en klachten van zowel interne- als externe contacten
  • Adviseren en informeren van het management over de benodigde technologie en beveiligingen (privacy by design)
  • Bewustzijn creëren bij alle collega’s omtrent de bescherming van persoonsgegevens
  • Samenwerken met- en fungeren als contactpersoon van de Autoriteit Persoonsgegevens

Wanneer een FG is aangenomen is het van belang om hem/haar aan te melden bij de Autoriteit Persoonsgegevens. Vanaf dat moment fungeert hij/zij als vast aanspreekpunt.

Lees ook: Zet de Functionaris Gegevensbescherming binnen 4 stappen op zijn positie

Privacy by design

Vanuit het principe privacy by design moeten organisaties al tijdens de ontwikkeling van producten, diensten en informatiesystemen aandacht besteden aan privacy-verhogende maatregelen. Onder privacy by design vallen de volgende begrippen;

  • Privacy by design: processen en IT-diensten zo inrichten dat privacy vanaf het eerste moment wordt betrokken in het ontwerp
  • Privacy enhancing technologies: het nemen van privacy-verhogende maatregelen als onderdeel van een ontwerp van een IT-systeem
  • Privacy by default: privacy-vriendelijke instellingen of keuzemogelijkheden als basiswaarde nemen en de keuze tot het verstrekken van meer informatie bij de betrokkene laten.

Meldplicht datalekken

Wanneer persoonsgegevens onterecht, om welke reden dan ook, in handen komen van derden spreken we van een datalek. Een datalek kan op allerlei manieren voorkomen. Denk bijvoorbeeld aan het verliezen van een USB-stick vol persoonsgegevens of een computercrash. En is een datalek een feit? Dan zijn organisaties verplicht om dit zo snel mogelijk te melden bij de Autoriteit Persoonsgegevens.

Lees ook: In 4 stappen naar een datalekvrije organisatie

De leidende toezichthouder

Wanneer uw organisatie internationaal opereert is er ook sprake van internationale gegevensverwerking. Dit brengt veelal verwarring met zich mee. Om overzicht te behouden is het handig om een leidend toezichthouder aan te stellen. Deze toezichthouder fungeert als vast aanspreekpunt voor iedereen die te maken heeft met persoonsgegevens verwerking.
Met de leidend toezichthouder als overkoepelend orgaan kan er eenduidig worden voldaan aan de eisen van de AVG.

Toestemming

Personen moeten toestemming kunnen geven op het verwerken van hun gegevens. Het is hierbij ook belangrijk dat zij weten waar ze precies toestemming voor geven. Dus wat gaat de organisatie met hun gegevens doen? Waar worden deze gegevens opgeslagen? Om aan de vereisten van de AVG te voldoen is het dus van belang om hier een protocol voor op te stellen. Dit kan met de volgende stappen;

  • Inventariseer wanneer gegevens binnen de organisatie worden verwerkt op basis van toestemming
  • Beoordeel of de verleende toestemming overeenkomt met de vereisten van de AVG
  • Richt een toestemmingsregister in
  • Beoordeel de impact van het intrekken van de toestemming

Snel en gemakkelijk AVG compliant

Het Privacy Management Systeem is de versneller voor de implementatie van de Algemene Verordening Gegevensbescherming. Ons praktische systeem helpt uw organisatie bij het voldoen aan de wettelijke eisen en plichten rond persoonsgegevens.

Meer weten of direct aan de slag?

 

Categorie: IT security

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2018

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2018

Download nu »