AVG / GDPR in praktische stappen
AVG / GDPR, inmiddels bij veel bedrijven welbekend. Deze wet is twee jaar geleden opgesteld ‘ter bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’. Bedrijven konden zich 2 jaar lang voorbereiden op de wetgeving en vanaf 25 mei zal hij worden gehandhaafd. Zodra een bedrijf zich niet aan deze wet houdt, zullen hoge boetes van toepassing zijn.
Wat betekent dat voor uw bedrijf?
Om boetes te vermijden, is het belangrijk om u goed te laten informeren over de verplichtingen. Er wordt van elke organisatie verwacht dat deze kan aantonen dat zij op verantwoorde wijze omgaat met de verwerking en subverwerking van privacygevoelige gegevens (subverwerking houdt in dat uw organisatie gegevensbewerkingen uitvoert voor derden). Daarnaast krijgen betrokkenen meer rechten, zoals het opvragen van het soort gegevens dat uw bedrijf verwerkt of het laten aanpassen of verwijderen van bepaalde gegevens.
Praktische stappen
Een aantal verplichtingen vanuit de AVG zijn voor alle organisaties van toepassing, dus ook voor uw werkgever/organisatie:
- Organisaties vanaf 250 medewerkers moeten een medewerker aanstellen als Functionaris Gegevensbescherming. De persoon met deze functie moet toezien op het naleven van de AVG / GDPR binnen de organisatie en houdt zich bezig met alle gerelateerde verplichtingen. Het is belangrijk om deze verplichtingen te zien als actiepunten, waarmee direct aan de slag kan worden gegaan in het bedrijf. Uiteraard is het voor MKB ook handig een medewerker aan te stellen, echter het is niet verplicht.
- Elk bedrijf dient een overzicht bij te houden van de gegevensverzamelingen waarin de persoonsgegevens (sub)verwerkt worden. Bewerken wordt hier in de breedste zin van het woord bedoeld. Dit kan namelijk ook een snel klusje tussendoor zijn, zoals het tijdelijk zien van persoonsgegevens op een beeldscherm; de AVG / GDPR is dus écht heel snel van toepassing.
- Bedrijven moeten een PIA (Privacy Impact Assessment) uitvoeren. Dit is feitelijk het analyseren van een proces aan de hand van een checklist. De processen / systemen waarin u persoonsgegevens verwerkt moeten op risico’s worden geanalyseerd. Vervolgens onderneemt u actie bij eventuele bevindingen. Een goede PIA-checklist is die van NOREA, de beroepsorganisatie van IT-auditors.
- Datalekken moeten gemeld worden bij de Autoriteit Persoonsgegevens, maar dienen ook door de organisatie zelf bijgehouden te worden in een eigen register datalekken.
- Zodra persoonsgegevens verwerkt worden, is een organisatie verplicht om aan te kunnen tonen daadwerkelijk toestemming te hebben gekregen voor het verwerken van deze gegevens.
- Wanneer gegevens worden verwerkt door een derde partij, moet uw organisatie met deze partij een Verwerkersovereenkomst afsluiten.
In samenwerking met onze partner BLAUD kunnen wij u ondersteunen in deze stappen. Neem contact op voor meer informatie.
Bron: https://blaud.com/blog/avg-ready-in-heldere-taal-en-praktische-stappen