Blog

Hoe bereid je je voor op de AVG?

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. In Nederland wordt uitvoering gegeven aan de AVG door de Uitvoeringswet AVG.

De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

penHoe bereid je je voor op de AVG?

Hoe zorg je ervoor dat je organisatie vanaf 25 mei 2018 voldoet aan de AVG? Hoe begin je?

Het is bedrijven en organisaties aan te raden om een gegevensbeschermingsprogramma op te zetten. Daarbij zijn een paar belangrijke drempels en voorbereidingen om te nemen, waaronder:

  • een persoon of team de leiding geven om de AVG na te leven;
  • een takenlijst voorbereiden, waarin je de relevante feiten, wetten en vereisten identificeert;
  • prioriteiten stellen gebaseerd op zakelijke doelstellingen, het risico op blootstelling aan handhaving, en de mate van gemak om te voldoen aan de vereisten;
  • de takenlijst uitvoeren;
  • werken met interne belanghebbenden en externe adviseurs.

Een aanspreekpunt

Iemand moet de leiding hebben om de organisatie te laten voldoen aan de AVG. In grotere organisaties kan een team worden aangesteld, bestaande uit in ieder geval juristen of advocaten, IT-personeel, HR-personeel en dergelijke. In sommige gevallen kan het zijn vereist (of zijn gewenst) om een functionaris gegevensbescherming aan te stellen. In eenmanszaken is, vanzelfsprekend, de eigenaar degene die de leiding moet nemen. Afhankelijk van de soort organisatie kan je een aanpak kiezen – ieder met hun eigen voor- en nadelen.

Waarom privacy?

Wanneer de organisatie te maken heeft met interne belanghebbenden en externe adviseurs is het van groot belang om een duidelijk antwoord te hebben op het “waarom”. Waarom is gegevensbescherming en beveiliging belangrijk? Compliance is een zaak van risicomanagement en het voorkomen van boetes en aansprakelijkheid. Maar ook mogelijke (bescherming of verbetering van) reputatie en zakelijke kansen zijn een reden om aan privacywetgeving te voldoen. Daarnaast kan privacy een kernverplichting zijn om producten of diensten te verkopen – denk aan SaaS-dienstverleners of hostingproviders.

Het kan helpen om een FAQ op te stellen om bewustwording en steun te krijgen binnen de organisatie.

Takenlijst

Zodra een persoon of team is aangesteld om de leiding te nemen, kan een takenlijst worden voorbereid. Daarmee kan worden bijgehouden wat de status van de implementatie is, en kunnen prioriteiten worden gesteld.

Een takenlijst helpt bij het prioriteren, plannen (ook budgetair), managen en zo nodig overdragen van taken. Het is aan te raden om een onderscheid te maken tussen (het in kaart brengen van) formele vereisten (zoals privacyverklaringen, verwerkingsregisters, het aanstellen van een functionaris gegevensbescherming, data transfer overeenkomst) en wezenlijken taken (zoals het implementeren van toegangscontrole, uitrollen van encryptietechnologieën en het vervangen van leveranciers).

Het is het gemakkelijkst om eerst globale taken / doelstellingen op te stellen, om deze vervolgens per taak / doelstelling te concretiseren in hoe daaraan voldaan kan worden, en vervolgens welke concrete stappen daarvoor nodig zijn.

Daarbij dient bepaald te worden welke gegevens de organisatie heeft, welke wet- en regelgeving van toepassing is, en hoe de organisatie aan e.e.a. kan voldoen.

Prioriteiten stellen

Als het om een grote organisatie gaat is het aan te bevelen e.e.a. in fasen onder te verdelen, om te voorkomen dat de takenlijst alweer is achterhaald zodra het volledig is opgesteld. Focus eerst op de vereisten die een hoog risico met zich meebrengen en de gemakkelijke verbeterpunten in ontwerp- en implementatiefase. Start met het prioritisen van de belangrijkste taken terwijl je de takenlijst verder opstelt. Als er al vereisten bekend zijn waaraan de organisatie moet voldoen, probeer daar dan eerst aan te voldoen. Als er op belangrijke punten nog niet wordt voldaan, terwijl er een hoog risico bestaat bij niet-naleving, neem dan direct actie. Daarna kunnen taken aan de lijst worden toegevoegd en kan verder worden gekeken wat dan van belang is.

Basale inventarisatie als startpunt

Wanneer je begint met het opstellen van een takenlijst, bedenk dan welke persoonsgegevens de organisatie gebruikt. Bedenk minimaal een korte samenvatting met basisinformatie van de centrale databases, soorten persoonsgegevens, en primaire doeleinden waarvoor die gegevens worden verwerkt. Later kan dit verder worden uitgewerkt om te voldoen aan de AVG en andere toepasselijke wetgeving.

Welke aanpak past het best bij de organisatie?

Na de initiële beoordeling van de vereisten en doelstellingen kan een aanpak worden gekozen. Kies een aanpak die het best past bij de organisatie en de situatie. Kies je voor proactief of reactief? Kies je ervoor om problemen zelf op te lossen, of wacht je af wat de markt doet? Kies je een voortrekkersrol of volg je de massa? Hoeveel risico op exposure heeft de onderneming?

Zodra dit alles op poten staat kan de implementatie vanzelf gaan rollen. Vereisten worden helder, verantwoordelijkheden worden duidelijk, maatregelen worden concreet. Het begin is gemaakt!

Gerelateerde berichten