Voldoen aan de AVG

Goed omgaan met privacy

Weet u precies welke gegevens u van personen bewaart in uw bedrijf? Heeft u met uw afnemers en leveranciers afgesproken wat u precies met hun gegevens doet? En duidelijk uitgelegd hoe zij gegevens kunnen inzien of laten verwijderen? Heeft u goed gedocumenteerd hoe u de gegevens beveiligt? Het lijken slechts een paar simpele vragen. Maar moet u op één vraag ontkennend antwoorden dan loopt u al een risico op een wetsovertreding met mogelijk een (hoge) boete. Dit is het gevolg van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG), de nieuwe privacywet voor heel Europa. De AVG is ook bekend onder de Engelse benaming de General Data Protection Regulation (GDPR). Wij helpen u te voldoen aan deze regelgeving.

Register van verwerkingen van persoonsgegevens voor AVG

De hierboven gestelde vragen zijn slechts enkele van de vele vragen waarop u een passend antwoord moet hebben of waarvoor u een protocol moet hebben opgesteld. Vooral bedrijven die werken met privacygevoelige informatie, zoals over gezondheid of financiën, moeten veel maatregelen treffen om aan de wet te voldoen. Bedrijven met meer dan 250 werknemers zijn verplicht een ‘Register van verwerkingen van persoonsgegevens’ bij te houden. Dit geldt ook voor bedrijven met minder dan 250 werknemers die stelselmatig persoonsgegevens verwerken.

 

Informatie goed beveiligd, ook voor uzelf!

De AVG is vooral bedoeld om vertrouwen te bieden aan consumenten in de digitale economie. Door te voldoen aan de wetgeving geeft u uw klanten en leveranciers het vertrouwen dat hun gegevens bij u veilig zijn. Tegelijkertijd voorkomt u dat een cyber crimineel of een hobby hacker toegang krijgt tot uw waardevolle bedrijfsgegevens en deze lekt. Voldoen aan de AVG dient daarmee niet alleen uw relaties, maar ook uzelf.

 

Voorkom sancties

De AVG is sinds 25 mei 2018 in werking getreden na een implementatie periode van 2 jaar. Vanuit de Autoriteit Persoonsgegevens (AP) vindt handhaving plaats. Onder de AVG mag deze autoriteit sancties opleggen tot wel € 20 miljoen of vier procent van de wereldwijde omzet. Heeft u de informatiebeveiliging niet goed op orde, dan kunnen er maatregelen nodig zijn die tijd vergen. In het afgelopen jaar zijn boetes door de AP opgelegd waaronder een boete van €460.000 aan het Haga-ziekenhuis in Den Haag. Kom dus snel in actie als u niet zeker weet dat u aan alle AVG-regels voldoet.

 

Twijfelt u over de AVG? Laat een risicoanalyse opstellen

Twijfelt u of uw organisatie voldoet aan alle nieuwe regelgeving? Dan is het zaak snel en kordaat op te treden. Wij kunnen u helpen met het maken van een verkorte risicoanalyse. Binnen één week weet u dan in welke mate u aan de nieuwe privacywetgeving voldoet met daarbij een inschatting van de te nemen maatregelen. De analyse voeren wij binnen uw bedrijf uit, onder meer door het voeren van gesprekken met u en uw medewerkers. Wij noemen deze analyse een nulmeting. De uitkomst van de meting is een rapportage over wat goed is en wat moet worden aangepakt. Het is een prima basis voor een plan van aanpak om aan de AVG te voldoen.

 

Plan van aanpak voor de AVG nodig?

Op basis van de nulmeting kunnen we u helpen met een plan van aanpak. Dat plan maken we op basis van de aanpassingen die het meest belangrijk of urgent zijn vanwege de doorlooptijd van de invoering. We kunnen u praktisch ondersteunen met bijvoorbeeld het opstellen van verwerkingsregisters, het uitwerken van beheersingsmaatregelen in de vorm van procesbeschrijvingen, het opstellen van verwerkersovereenkomsten waarin u met afnemers en wat u voor de AVG nodig heeft.

 

Voldoen aan de AVG

 

Alles op orde? Bewijs het met een Privacy Audit

Denkt u helemaal te voldoen aan de nieuwe wetgeving of wilt u zekerheid hebben of uw verwerker passende beveiligingsmaatregelen heeft getroffen, dan kan een onafhankelijk oordeel hulp bieden. Dat kunnen wij doen door middel van een Privacy Audit. Hiermee weet u direct of u inderdaad alles goed geregeld heeft voor de AVG.

Welke stappen moet u nemen?

Moet u een Data protection impact assessment (DPIA) uitvoeren?

Als een organisatie persoonsgegevens verwerkt, kan het zijn dat een Data protection impact assessment (DPIA) moet worden uitgevoerd. Een DPIA is een instrument waarmee u in kaart brengt wat het effect is op de privacy als u persoonsgegevens anders gaat verwerken. De Algemene Verordening Gegevensverwerking (AVG) stelt een DPIA verplicht als de verwerking van persoonsgegevens een hoog privacy risico oplevert voor de personen waarvan die gegevens verwerkt worden. Om duidelijkheid te verschaffen in welke situaties een DPIA waarschijnlijk verplicht is, heeft DRV een stroomschema opgesteld. Bekijk het schema.

 

Moet u een register van verwerkingen bijhouden?

Vanuit de Algemene Verordening Gegevensbescherming (AVG) zijn organisaties verplicht verantwoording af te leggen over hoe zij de privacy waarborgen van personen waarvan zij gegevens verwerken. Zo moet een organisatie aantonen dat ze zich aan de wetgeving houdt en nadenken over de verwerking van persoonsgegevens en de bijbehorende technische en organisatorische beveiligingsmaatregelen. Om duidelijkheid te verschaffen in welke situaties een register van verwerkingen verplicht is, heeft DRV een stroomschema opgesteld. Bekijk het schema.

 

Moet u een functionaris gegevensbescherming (FG) aanstellen?

Het kan zijn dat u volgens de Algemene Verordening Gegevensbescherming (AVG) een Functionaris voor de Gegevensverwerking (FG) moet aanstellen. De FG wijst u aan op grond van professionele kwaliteiten en, in het bijzonder, de deskundigheid op het gebied van de wetgeving. De FG adviseert u op het gebied van de privacywetgeving, ziet toe op naleving van de wetgeving, geeft advies over privacyvraagstukken, werkt samen met de autoriteiten en treedt op als contactpersoon richting relevante partijen. Om duidelijkheid te verschaffen wanneer u een functionaris gegevensbescherming moet aanstellen, heeft DRV een stroomschema opgesteld. Bekijk het schema.

Meer informatie?

Max Platvoet MSc RA RE

Accountant en adviseur cyber security & privacy
  •  *
  •  *
  •  *
  •  *
  •  *
  •  *
  •  *