Eerste Hulp Bij de AVG (GDPR)

Op 25 mei 2018 ging de Europese privacy-verordening Algemene verordening gegevensbescherming (AVG) in. In het Engels is dit de General Data Protection Regulation (GDPR). Waar moet je beginnen om te voldoen aan de Algemene Verordening Gegevensbescherming? Om je wegwijs te maken hebben we een Eerste Hulp bij AVG opgesteld. Een leidraad zodat je zelfs als ‘leek’ de eerste stappen kunt zetten om te voldoen aan de AVG.

Posted on September 1, 2017 in Blog.

Bewustwordingsprogramma

Medewerkers vormen een belangrijke schakel in de beveiliging van privacygevoelige en vertrouwelijke informatie. Bewustwording op het gebied van privacy is dan ook een vereiste voor de hele organisatie. Met zogenaamde bewustwordingsprogramma’s bevorder je het risicobesef en bewustwording van medewerkers. Een bewustwordingsprogramma zorgt, in de context van de organisatie, dat medewerkers aantoonbaar kennis hebben over privacy. Er ontstaat een positieve houding ten opzichte van privacy en er is sprake van meetbare gedragsverandering. Belangrijke voorwaarden in de voorbereiding op de invoering van de AVG!

Verwerking persoonsgegevens

Welke gegevens verwerkt de organisatie? Met welk doel? Van welke partijen ontvangt de organisatie gegevens? Met welke partijen worden gegevens uitgewisseld? Al deze vragen en meer zijn input voor het overzicht van de verwerkingen dat u opstelt. Belangrijk aspect is dat je kunt aantonen dat je toestemming hebt gekregen van de persoon waarvan de organisatie de gegevens verwerkt. De betrokkene, zoals dit wordt genoemd, heeft ook het recht om deze toestemming later weer in te trekken. Een juiste en volledige toestemmingsregistratie is essentieel.

Wanneer de organisatie verwerkingen van persoonsgegevens uitbesteed aan een derde partij moet je een overeenkomst afsluiten waarin afspraken staan over de verwerking. Er zijn op internet diverse modelverklaringen te vinden.

Rechten van betrokkenen

De AVG regelt, net als in de Wet Bescherming Persoonsgegevens (WBP), de rechten van de betrokkenen. De AVG vult de bestaande rechten op inzage, correctie en verwijdering aan met een aantal nieuwe rechten. Gegevens van personen moet makkelijk uit de systemen te halen zijn en kunnen worden overgedragen aan een andere partij. Dit wordt ook wel dataportabiliteit genoemd. Daarnaast krijgen betrokkenen het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). De AP moet hier vervolgens op reageren en kan hier mogelijk consequenties aan verbinden die uw organisatie raken.

Privacy Impact Assessment

Het uitvoeren van een Privacy Impact Assessment (PIA) wordt verplicht. Een PIA is bedoeld om risico’s in kaart te brengen en dient een goede weging te zijn van belangen, risico’s en maatregelen. Met een PIA wordt het makkelijker om te voldoen aan de principes privacy by design en privacy by default zoals opgenomen in de AVG. Bij privacy by design kun je denken aan het toepassen van strikte functiescheiding binnen een applicatie. Een voorbeeld van privacy by default is een automatische instelling die afdwingt dat er zo weinig mogelijk wordt gedeeld.

Functionaris Gegevensbescherming

De functionaris gegevensbescherming (FG) is de sleutelfiguur voor organisaties in het voldoen aan de AVG. Voor veel organisaties wordt een functionaris gegevensbescherming verplicht. Bijvoorbeeld als er sprake is van het verwerken van grote hoeveelheden persoonsgegevens. Of als de verwerking gedaan wordt door een overheidsinstantie. Ook wanneer het niet verplicht is kan het wel verstandig zijn een FG aan te stellen om de organisatie te helpen voldoen aan de AVG.

Meldplicht datalekken

Begin vorig jaar werd, als onderdeel van de WBP, de meldplicht datalekken ingevoerd. De invoering van de AVG verandert hier weinig aan. Op dit moment hoef je alleen de datalekken te registreren die zijn gemeld aan de AP. Straks moeten alle datalekken worden bijhouden. Twijfel je of je de meldplicht goed hebt ingericht? Met een quickscan kom je er snel achter. Heeft de organisatie vestigingen in meerdere Europese lidstaten? Bepaal dan welke nationale toezichthouder voor de communicatie leidend is. Hiermee voorkom je dat je bijvoorbeeld een datalek in meerdere lidstaten moet melden.

Hulp bij de AVG

Voor alle genoemde aandachtspunten is het belangrijk om de aansluiting te zoeken bij bestaande processen. Wanneer je als ‘leek’ de eerste stappen gaat zetten om aan de AVG te voldoen ondersteunt Qbit door middel van het AVG Verbeterplan.

Mathijs Hummel

By Mathijs Hummel

Advisory & Assurance

Any questions about this post or our services? Just Email me or call me on +31 6 12 985 740.

Contact us

Newsletter