Blog
Praktische tips voor de AVG
Op het moment van het plaatsen van dit artikel is er nog iets meer dan 4 maanden, ofwel 21 weken, te gaan en dan zal de Europese wetgeving Algemene Verordening Gegevensbescherming (General Data Protection Regulation, GDPR) worden gehandhaafd. Inmiddels zou dit niet meer tot vraagtekens moeten leiden en zou jouw organisatie al in de afrondende fase moeten zitten omdat je uiteraard alles op orde hebt.
Gelukkig weten wij bij QUBE dat de werkelijkheid weerbarstiger is en dat je soms er gewoon weg niet eerder aan toe bent gekomen.
Daarom hebben wij een paar praktische tips voor je om na te gaan.
1 Leg gegevensverwerkingen vast
Dus je bent nog niet helemaal begonnen en je weet ook niet helemaal waar je mee moet beginnen? Begin dan met het op papier zetten van welke type data tot persoonsgegevens behoren. Als je weet om welke data het gaat, kan je het ook makkelijker vinden. Met welk doel worden ze verwerkt, wat houdt die verwerking in en waar worden de gegevens bewaard? Breng in kaart hoe er in je bedrijf met persoonsgegevens wordt omgegaan en op welke grondslag de gegevens worden verzameld (en of die grondslag nog wel voldoet). Wat zijn de gevolgen als deze persoonsgegevens kwijt raken? Wie heeft recht op inzage, correctie, verplaatsing of vernietiging van de persoonsgegevens?
Organisaties hebben met de komst van de AVG een register- en documentatieplicht. Dus door nu al de flows en verwerkingen in kaart te brengen, maak je hier al aardig wat stappen in.
2 Creëer bewustwording intern
Maak duidelijk wat de nieuwe privacyregels inhouden en welke invloed die hebben op de huidige processen, diensten en goederen die het bedrijf levert. Zorg voor passende maatregelen om de integriteit en de privacy van de persoonsgegevens te beschermen. Medewerkers moeten weten dat klanten waarvan persoonsgegevens worden verwerkt, meer en verbeterde privacyrechten krijgen. Zijn de laatste software patches geïnstalleerd? Bij Cloud services, waar staat de data geografisch gezien? Maar ook het monitoren en controleren wie de data gebruikt.
3 Maak een protocol voor meldplicht datalekken
Stel een procedure vast voor het (melden) van datalekken, zodat voor iedereen binnen de organisatie duidelijk is welke stappen genomen moeten worden wanneer er sprake is van een datalek en wie dat gaat melden? Elk lek moet binnen 72 uur na ontdekking worden gemeld aan de Autoriteit Persoonsgegevens. Uiteraard moet duidelijk zijn welke processen van toepassing zijn bij het dichten van datalekken, het beperken van de gevolgen, de communicatie en het boven tafel krijgen van leereffecten. Bereid je voor op onverhoopte datalekken door te oefenen, bijvoorbeeld met een gesimuleerd datalek.
4 Controleer bewerkersovereenkomsten
De AVG bepaalt dat in een bewerkersovereenkomst meer zaken verplicht moeten zijn opgenomen, met betrekking tot bijvoorbeeld beveiliging en de plichten van de bewerker. Kwalificeer daarom hosting- en Cloudproviders waarmee je als organisatie een contract hebt als bewerker. Weet waar Cloudleveranciers gegevens verwerken en opslaan. En houd er ook rekening mee dat data kan circuleren tussen de verschillende datacenters waar de leverancier van gebruikmaakt. Maak daarom ook duidelijke afspraken met hen. Zij dragen eveneens bij aan het AVG-proof maken van de organisatie.
5 Metadata management
Op het moment dat iemand inzage wil in zijn of haar opgeslagen persoonsgegevens, is dit beschikbaar binnen de gewenste periode? En is het overzicht volledig? Zorg voor vastlegging van welke persoonsgegevens waar worden gebruikt en met welk doel. Koppel dit aan de door de persoon verleende toestemming.
6 Integreer privacy by design
Doordat operatie technieken veel meer samen komen met informatie technieken, worden nieuwe producten aangeschaft of custom gemaakt. Privacy by design houdt in dat bij het ontwerp van producten en diensten rekening met de privacy van de gebruiker wordt gehouden en dat geen data wordt verzameld die niet essentieel is voor de werking.