De wet GDPR/AVG – Hoe bereidt u zich voor?

De Europese Commissie en het Europees Parlement hebben de nieuwe wet “Algemene Verordening Gegevensbescherming” (AVG) aangenomen. Deze vervangt de Wet Bescherming Persoonsgegevens (WBP), omdat de AVG beter aansluit op de continue digitale veranderingen en persoonsgegevens beter beschermt. In het Engels wordt de wet de “General Data Protection Regulation” (GDPR) genoemd. De AVG is formeel in werking getreden in 2016 en tot 25 mei 2018 geldt een overgangsregeling. Daarna is de wet verbindend van kracht en wordt deze actief gehandhaafd. Wat betekent deze AVG voor jouw organisatie en wat is de meest effectieve aanpak om hieraan te voldoen? Download PDF

Welke veranderingen brengt de AVG teweeg?

  • Er zullen grote geldboetes worden opgelegd wanneer medewerkers die persoonsgegevens verwerken regels van gegevensbescherming overtreden. Deze kunnen oplopen tot twintig miljoen euro of vier procent van jouw (wereldwijde) organisatorische jaaromzet. Het toezicht op de regels zal komende tijd worden geïntensiveerd door de Autoriteit Persoonsgegevens (AP);
  • Onder de vorige wet moesten persoonsverwerkingen worden aangemeld bij de Autoriteit Persoonsgegevens. Onder de AVG hoeft dat niet meer: elke organisatie moet zelf alle verwerkingen van persoonsgegevens bijhouden in een overzicht.

Wat zijn de belangrijkste stappen om jouw organisatie voor te bereiden op mei 2018?

  1. Breng in kaart welke persoonsgegevens je bijhoudt en op welke manier je dit als organisatie doet. Stel een digitaal/elektronisch register van verwerkingsactiviteiten op waarin wordt weergegeven welk type gegevens op welke manier worden verwerkt.
  2. Maak overzichtelijk in welke applicaties deze persoonsgegevens worden verwerkt. Hierbij is het van belang dat alle applicaties die worden gebruikt in kaart worden gebracht en dat per applicatie wordt bepaald wat de relevantie ervan is voor de organisatie.
  3. Breng in kaart hoe gegevensstromen, die persoonsgegevens bevatten, lopen tussen applicaties. Bepaal ook welke van deze gegevensstromen van buiten de organisatie naar binnen komen en van binnen naar buiten lopen.
  4. Zorg voor een zogenoemde datalek-procedure. Het is noodzakelijk om te weten welke stappen er gezet moeten worden wanneer je vermoedt of weet dat er sprake is van een verstoring die kan leiden tot een datalek. Het melden van een datalek bij de Autoriteit Persoonsgegevens is verplicht.
  5. Benoem een Functionaris Gegevensbescherming. Je bent in veel gevallen verplicht een Functionaris Gegevensbeschermer, (FG) ook wel Data Protection Officer (DPO) genoemd, te benoemen. Deze verplichting geldt wanneer jouw organisatie kernactiviteiten uitvoert waarbij persoonsgegevens (denk bijvoorbeeld aan gezondheidsgegevens) worden verwerkt.
  6. Stel een overzicht op in welke je dataverwerkingen bijhoudt. Wanneer jouw organisatie privacygevoelige informatie verwerkt, bent je verplicht een overzicht op te stellen waarin je deze dataverwerkingen bijhoudt. Ook als je verwerkingen uitbesteedt. In dat geval is een verwerkingsovereenkomst die voldoet aan de wettelijke eisen nodig. In het overzicht geef je onder meer aan wat het doel, het uitgangspunt en de getroffen veiligheidsmaatregelen zijn. Je hebt een documentatieplicht en toont aan dat je de correcte organisatorische en technische maatregelen neemt en heeft genomen om aan de Europese wetgeving te voldoen;
  7. Modelleer relaties & creëer bewustwording. Wanneer je de relaties tussen verantwoordelijken, de verwerkers en het proces van persoonsgegevens binnen jouw organisatie in kaart brengt, krijg je inzicht in de rechten van betrokkenen, de verwerkingen van persoonsgegevens en gaat zien welke gegevens zich waar bevinden. Daarbij creëer je bewustwording omdat sleutelfiguren weten welke impact de AVG op jouw huidige processen heeft en welke aanpassingen er moeten worden gemaakt.

De eerste stap?

ValueBlue en Lumen Group kunnen je ondersteunen om:

grip te krijgen op het IT-landschap en de manier waarop dit de bedrijfsvoering ondersteunt. Wanneer jouw organisatie veel persoonsdata verwerkt en je een functie bekleed op managementniveau, wisselen we vrijblijvend van gedachten. Het gesprek vormt jouw vertrekpunt voor een optimale voorbereiding op de AVG. Neem gerust contact met ons op om een afspraak te maken.

Lumen

Lumen Group

Lumen Group is gespecialiseerd in Privacy en Data Protection diensten. Lumen Group biedt een gratis quick scan GDPR/AVG waardoor je ziet waar je nu staat in relatie tot de eisen die door de AVG worden gesteld. Het wordt dankzij Lumen duidelijk welke stappen er nog gezet moeten worden. Ook kunnen Data Protection Officers je begeleiden om de benodigde stappen te doorlopen.

valueblue

ValueBlue

ValueBlue heeft BlueDolphin ontwikkeld. BlueDolphin wordt gekoppeld aan de verschillende systemen in jouw organisatie die data bevatten over je IT-landschap en over de bedrijfsprocessen. Vervolgens vormt het hier, grotendeels geautomatiseerd, een samenhangend beeld van. BlueDolphin zorgt in een aantal dagen voor een betrouwbaar beeld van het IT-landschap. Het zijn de krachtige visualisatie- en rapportage-technieken die ervoor zorgen dat jij en je medewerkers vanuit elk perspectief de werkelijkheid kunnen opvragen en ‘downdrillen’. Vervolgens kan ValueBlue deze visualisaties aanvullen met de benodigde informatie over data, privacy en de manier waarop deze bedrijfsprocessen ondersteunen. Zo houd je het stuur stevig in handen.

Jelle.visser@valueblue.nl
+31 (0) 6 1255 7863

Meer lezen over AVG / GDPR?

Lees verder