Aantoonbaar in control voor AVG

Blog
20 Dec 2017
Max Verbong
in control blog 350x250

Nadat we in de eerste blog kennis hebben gemaakt met de terminologie en in de tweede blog gekeken hebben wat het voor business-to-business organisaties betekend, gaan we nu in op de vraag hoe een organisatie 100% compliant wordt voor 25 mei 2018.

Over het algemeen is iedereen het erover eens dat het niet haalbaar is om te streven naar 100% compliance op deze datum. Belangrijk is echter wel dat er aantoonbaar stappen zijn gemaakt en dat de organisatie in een continu proces zit om aan de AVG te voldoen en blijven voldoen.

 

 

 

Activiteiten en besluiten vastleggen
Binnen de organisatie zijn, afhankelijk van de grootte van de organisatie en de mate van verwerking van persoonsgegevens, één of meerdere personen actief bezig met de stappen die nodig zijn om compliant te worden ten aanzien van de AVG. Deze personen zijn hier fulltime mee bezig of doen dit als extra taak binnen een al bestaand takenpakket.

Voor deze personen is het belangrijk dat de uren die direct of indirect aan AVG besteed worden nauwkeurig worden vastgelegd en dat elke stap in het proces goed gedocumenteerd wordt. Wordt er bijvoorbeeld besloten dat een functionaris gegevensbescherming niet noodzakelijk is, zorg er dan voor dat het besluit goed onderbouwd en gearchiveerd wordt. Hiermee wordt de basis gelegd voor het dossier waarmee de organisatie kan aantonen welke stappen er gemaakt zijn en waarom deze stappen wel of niet genomen zijn.

Bewustzijn creëren
AVG beperkt zich binnen een organisatie echter niet tot de personen die ervoor staan opgelijnd. Iedereen in de organisatie moet zich bewust zijn van de risico’s van onzorgvuldige omgang met persoonsgegevens. Het verliezen van een usb-stick met importdata van een klant, inloggegevens die in verkeerde handen vallen of een gestolen laptop kan leiden tot een datalek en uiteindelijk leiden tot reputatieschade en een forse boete. 

Uit best practices komt naar voren dat, net als bij adoptie van nieuwe applicaties, het bewustzijn voor veiligheid en privacy een onderdeel moet worden van de dagelijkse processen van de medewerkers. Hierdoor krijgt het een logische plek en wordt het sneller onderdeel van het DNA van de organisatie. Daarnaast verdient het aanbeveling om een positieve insteek te gebruiken.

Zorg ervoor dat bijvoorbeeld tijdens een werkoverleg tijd wordt ingeruimd om aan de bewustwording te werken. Leg vervolgens vast dat ook aan dit onderdeel van de AVG door de medewerkers tijd besteed is en welke onderwerpen er behandeld zijn. Uiteindelijk dient iedereen in de organisatie doordrongen te zijn van hoe er met persoonsgegevens en veiligheid moet worden omgegaan.

Verwerkingsregister opstellen
Binnen de organisatie wordt een verwerkingsregister opgezet en bijgehouden. Dit register bevat gegevens over het verwerken van persoonsgegevens. Uit het register blijkt onder andere welke persoonsgegevens worden verwerkt, met welk doel ze verwerkt worden, waar de informatie fysiek wordt opgeslagen en hoe lang de persoonsgegevens gebruikt en bewaard mogen worden.

Iedere medewerker is ervoor verantwoordelijk om nieuwe verwerkingen te melden bij een centrale contactpersoon (of team), zodat het verwerkingsregister up-to-date blijft.

Oude en onnodige data vernietigen
Zie de stappen die voor de AVG gemaakt dienen te worden als een kans om een keer goed op te ruimen. Faseer oude systemen uit en vernietig alle data die niet langer nodig zijn voor het doel waarvoor ze verzameld zijn. Dit zijn niet alleen applicaties, maar ook uitgebreide Excel-sheets met namen en adressen van contactpersonen en andere digitale of niet digitale vastlegging van persoonsgegevens.

Waar staat deze data? Is dat alleen op centrale plekken binnen de organisatie of hebben collega’s ook nog bronbestanden of kopieën op hun eigen laptops, in hun email of op andere wijze beschikbaar? Onderdeel van het bewustzijn is dat deze naar een centrale plek worden verplaatst en dat ze worden opgenomen in het verwerkingsregister. Op andere plekken dient de betreffende data vervolgens verwijderd te worden.

Bewerkersovereenkomsten opstellen of aanpassen
Aan de bewerkersovereenkomsten worden onder de AVG strengere eisen gesteld. Een bewerkersovereenkomst was al verplicht onder de Wet bescherming persoonsgegevens (WBP) op het moment dat data verwerkt werd door een andere organisatie, of door een individu buiten uw organisatie. Onder de AVG zijn de regels voor de bewerkersovereenkomst verder aangescherpt.

Daarom is het van belang dat de bestaande bewerkersovereenkomsten nogmaals tegen het licht gehouden worden en waar nodig worden aangepast aan de nieuwe wetgeving. Let hierbij ook op de ketenverantwoordelijkheid en de subbewerkers die voor uw bewerker actief zijn en ook met uw data werken.

Zorg ervoor de bewerkersovereenkomst alle onderdelen bevat die voor het verwerken van persoonsgegevens voor uw organisatie van belang zijn. Op het Internet zijn hiervoor enkele goede controlelijsten te vinden.

Starten, bijhouden en bijblijven
AVG wordt op dit moment aangegrepen om orde op zaken te stellen op het gebied van privacy en veiligheid van gegevens. Zorg ervoor dat het geen eenmalige actie wordt en wijs binnen de organisatie personen of teams aan die zich hier continu mee bezig houden, verantwoordelijk zijn en de rest van de organisatie continu scherp houden. Alleen op deze kunt u als organisatie in control zijn en blijven.

ePrivacy en AVG
Naast de AVG wordt ook gewerkt aan de ePrivacy verordening. Dit is een aparte verordening, maar heeft zeker raakvlakken met de AVG. Op de ePrivacy verordening en het privacy beleid zullen we begin 2018 verder ingaan in onze volgende blog.