Tips & tricks: maak uw organisatie tijdig AVG-proof

Blogger: Brigitte Beunders

Het zal de meeste organisaties niet zijn ontgaan dat op 25 mei jl. de Algemene Verordening Gegevensbescherming (hierna ‘AVG’) in werking is getreden. Organisaties hebben tot 25 mei 2018 de tijd om aantoonbaar compliant te worden met de Europese verordening. Deze tijd zullen organisaties dan ook hard nodig hebben om hun bedrijfsvoering op orde te brengen. In deze blog zullen daarom enkele praktische tips & tricks worden gedeeld. Wacht niet te lang om uw bedrijfsvoering in overeenstemming te brengen met de regels die de AVG stelt. Zo voorkomt u fikse boetes en reputatieschade.

 

Grip op de AVG

Register- en documentatieplicht

Organisaties hoeven hun verwerkingen onder de AVG niet langer te melden aan de Autoriteit Persoonsgegevens. Daartegenover staat dat uw organisatie wél een register- en documentatieplicht zal hebben. Dit houdt in dat een overzicht van alle verwerkingen van persoonsgegevens moet worden bijgehouden én dat beheersmaatregelen, i.v.m. privacy- bestendigheid van processen, voorhanden moeten zijn.

Organisaties moeten dus zélf een overzicht bijhouden voor wat betreft de verwerkingen van persoonsgegevens. Dit kan bijvoorbeeld worden gedaan door in kaart te brengen welke afdeling persoonsgegevens verwerken, voor welke processen en op welke (soort) betrokkenen de verwerking betrekking heeft. Zo zal de afdeling P&O voor het aanleggen van personeelsdossiers (=proces) onder andere contactgegevens, geboortedata, verlof, verzuim en burgerservicenummers verwerken van het personeel (=betrokkenen).

Vergeet bovendien niet vast te leggen wat de doeleinden zijn van de gegevensverwerking, wat de bewaartermijnen bedragen, van welke systemen gebruik wordt gemaakt (zie ook: bewerkersovereenkomst) en wat de getroffen beveiligings- en beheersmaatregelen zijn. Het is dus nog een behoorlijke klus om dit in kaart te brengen. Als u nog niet begonnen bent met het in kaart brengen hiervan, zorg er dan voor dat dit proces zo snel mogelijk gestart wordt. Zo kunt u, indien de toezichthouder daartoe verzoekt, aantonen dat uw organisatie voldoet aan de wettelijke register- en documentatieplicht.

 

Bewerkersafspraken

Als uw organisatie gebruik maakt van de diensten van een derde, die persoonsgegevens ten behoeve van uw organisatie verwerkt, dan dient u met deze partij bindende bewerkers-afspraken te maken. Groot misverstand is dat hiertoe áltijd een bewerkersovereenkomst moet worden gesloten. In de AVG staat dat goede en bindende afspraken ook kunnen blijken uit andere rechtshandelingen, mits voldaan wordt aan enkele vereisten. Hoewel het maken van bewerkersafspraken nu al verplicht is onder de Wbp, zullen deze onder de AVG aan meer eisen moeten voldoen (artikel 28 lid 3).

Het onderwerp en de duur van de verwerking, maar ook de aard en het doel, het soort persoonsgegevens, de categorieën van betrokken en de rechten en de plichten van de bewerker moeten duidelijk omschreven worden in bewerkersafspraken. Onder de AVG is het bovendien niet langer toegestaan voor de bewerker om zónder voorafgaande toestemming van u, als verantwoordelijke, een externe partij in te schakelen voor de gegevensverwerking. Ga dus na of u wel met al uw bewerkers bewerkersafspraken heeft gemaakt en of deze geüpdate moeten worden naar de regels van de AVG.

 

Meldplicht datalekken

Sinds 1 januari jl. is, vooruitlopend op de AVG, de meldplicht datalekken in werking getreden. Dit houdt in dat, indien data al dan niet opzettelijk verloren gaat, hiervan melding moet worden gemaakt bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking. Zorg dus voor een goed datalekkenbeleid, waarin procedures duidelijk staan omschreven. Zo weet u wat u te doen staat indien u onverwachts wordt geconfronteerd met een datalek en er snel gehandeld moet worden. Van belang is dat alle personeel op de hoogte is van de meldplicht datalekken (zie ook: awareness onder personeel). Meer informatie over datalekken vindt u in ons boek ‘Grip op datalekken’.

 

Privacy Impact Assessment (PIA)

Onder de AVG is het verplicht om een PIA –de AVG zelf spreekt zeer beknopt in één woord van ‘gegevensbeschermingseffectbeoordeling’– uit te voeren indien sprake is van high risk-informatieverwerking. De PIA moet dan ook worden uitgevoerd indien gelet op de aard, omvang, context en doeleinden van de verwerking een hoog risico bestaat voor de rechten en vrijheden van personen. Gesproken kan worden van high risk als persoonsgegevens-verwerking kan resulteren in bijvoorbeeld ernstig lichamelijk letsel, materiële schade, reputatieschade, identiteitsdiefstal enzovoorts. Ook wanneer er geen harde verplichting bestaat voor een PIA kan het nuttig zijn er toch een uit te voeren om zodoende zicht te krijgen op mogelijke privacyrisico’s. In een eerdere blog van ons vindt u zeven tips voor een effectieve PIA.

 

Aanstellen Functionaris Gegevensbescherming

Onder bepaalde omstandigheden is het verplicht om een Functionaris Gegevensbescherming (hierna ‘FG’) aan te wijzen (zie artikel 27 AVG). Dit neemt niet weg dat het ook handig kan zijn een FG aan te stellen indien dit níet verplicht is. Een FG-functie kan extern worden ingevuld.

Een FG kan u helpen bij het houden van toezicht op de naleving van de privacyregels, het inventariseren van gegevensverwerkingen, het bijhouden van gegevensverwerkingen, vragen en klachten van mensen binnen en buiten de organisatie afhandelen, interne regelingen ontwikkelen, adviseren over privacy by design en input leveren bij het opstellen of aanpassen van gedragscodes.

 

Awareness onder personeel

Om te kunnen voldoen aan de AVG is het tot slot van groot belang dat uw personeel op de hoogte is van de Europese privacyregels. Zij moeten dus goed op de hoogte zijn hoe en wanneer zij persoonsgegevens mogen verwerken, maar ook wat zij moeten doen indien zich een datalek voordoet. Hoewel de AVG hiertoe niet verplicht, is het ten zeerste aan te raden om te investeren in awareness-trainingen. (Hier vindt u alvast vier manieren om privacybewustzijn binnen uw organisatie te vergroten) Alleen dan is het mogelijk de regels uit de AVG goed te borgen. Een (menselijk) foutje is immers snel gemaakt!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *