5 maart 2018 -
De inhoud van dit persbericht is niet afkomstig van de redactie van Managersonline.nl en derhalve niet journalistiek getoetst.
Bent u verantwoordelijk voor de verwerking van persoonsgegevens? Dan verwacht de Autoriteit Persoonsgegevens (AP) vanaf 25 mei 2018 dat u in ieder geval werkt aan compliance met de Algemene verordening persoonsgegevens (AVG), ook wel GDPR genoemd. Deze tips van Nandenie Moenielal zorgen voor een goed privacyverhaal.
Voor veel bedrijven is de ‘General Data Protection Regulation’ (GDPR) nog altijd iets abstracts. "Ik merk te vaak dat bedrijven denken: die AVG, die geldt toch niet voor ons?" Het tegendeel is waar, aldus Nandenie Moenielal, Senior Security Consultant bij beveiligingsbedrijf DearBytes. "Bijna alle organisaties verwerken gegevens van klanten, cliënten, inwoners of medewerkers, en zijn dus gebonden aan de nieuwe Europese privacywet."
Wat kunt u de komende maanden doen om op 25 mei beslagen ten ijs te komen? Moenielal zet een aantal acties op een rij:
1. Doe kennis op
Voordat organisaties aan de slag gaan met de AVG, kan het geen kwaad om eerst vertrouwd te raken met de terminologie en de rechten en plichten waar zij mee te maken krijgen. Gelukkig is er over de nieuwe privacywet al heel veel gezegd en geschreven, onder andere door de AP.
Zo heeft de Nederlandse privacywaakhond een ‘AVG 10-stappenplan’ en een ‘AVG-regelhulp’ samengesteld. De zelftest is met name interessant voor organisaties die al enigszins bekend zijn met de AVG. Ze krijgen een to-dolijst aangereikt voor compliance met de AVG.
2. Weet welke persoonsgegevens je verwerkt
U heeft inzicht nodig in de verwerkingen van persoonsgegevens om erachter te komen welke AVG-regels van toepassing zijn. De kans is groot dat u persoonsgegevens verwerkt, maar misschien zitten daar zelfs wel bijzondere persoonsgegevens bij. Dat kunnen gegevens zijn die iets zeggen over iemands geaardheid, politieke voorkeur of gezondheid. Er is al sprake van een verwerking van bijzondere persoonsgegevens bij de registratie van ziekteverzuim.
3. Leg een verwerkingsregister aan
De kans is groot dat u onder de AVG een ‘register van verwerkingsactiviteiten’ moet bijhouden. Hierin staat onder andere met welk doel persoonsgegevens worden verwerkt, waar deze gegevens vandaan komen en met wie ze worden gedeeld.
Dit registreren kan best een flinke klus zijn, zeker als niet duidelijk is waar persoonsgegevens worden verwerkt. Persoonsgegevens kunnen bijvoorbeeld zitten in financiële datastromen, in klantstromen, in de eigen hr-stromen of buiten de organisatie. Daar komt u alleen achter als u op onderzoek uitgaat. Bijvoorbeeld door alle afdelingen te vragen de eigen datastromen op papier te zetten en die informatie bij elkaar te brengen.
4. Maak de juiste afwegingen
De AVG dwingt u tot keuzes. Is het bijvoorbeeld nodig om een functionaris voor de gegevensbescherming (FG) aan te stellen? En is het uitvoeren van data protection impact assessments (DPIA’s) verplicht?
De antwoorden op die vragen liggen niet altijd voor de hand. Zo is een FG verplicht als uw organisatie vanuit een kernactiviteit op grote schaal individuen volgt door ze bijvoorbeeld te profileren. Maar wanneer is iets ‘op grote schaal’? Zowel de AVG als de AP geeft daar niet eenduidig een antwoord op.
5. Kijk waar u staat
Uiteindelijk gaat het erom dat alle data, waaronder persoonsgegevens, veilig en beschikbaar zijn. Niet alleen omdat de wet dit eist, maar ook omdat klanten, medewerkers en de business dit verwachten.
Volgens Moenielal is het uitvoeren van een nulmeting een goed startpunt om erachter te komen hoe de security ervoor staat. Zo kan een ‘Privacy Quickscan’ veel inzichten verschaffen. Zo’n scan maakt inzichtelijk aan welke vereisten uit de AVG uw organisatie al wel of nog niet voldoet. Het resultaat is een concreet actieplan. En dan blijkt de AVG minder eng dan u denkt.
6. Zorg voor organisatorische en technische maatregelen
Aan de hand van een securityrisicoanalyse brengt u in kaart wat de meest relevante risico’s zijn voor de organisatie, en welke maatregelen nodig zijn om die risico’s af te dekken. Denk bij technische maatregelen bijvoorbeeld aan patchmanagement, het up-to-date houden van software, versleuteling van gegevens, het gebruik van firewalls en toepassing van netwerksegmentatie. Voorbeelden van organisatorische maatregelen zijn het bevorderen van het beveiligingsbewustzijn, het regelmatig controleren van logbestanden en het sluiten van verwerkersovereenkomsten.
Niets doen is geen optie. Wie nu gestructureerd aan de slag gaat, kan op 25 mei 2018 in ieder geval een plan laten zien dat leidt tot AVG-compliance. Of zoals de AP het in de introductie op de AVG-regelhulp zelf zegt: zorg ervoor dat u als organisatie een goed privacyverhaal heeft.