088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

Blog: Nu écht beginnen met AVG/GDPR

Binnenkort  treedt de Algemene Verordening Gegevensbescherming (AVG) in werking, ook wel de General Data Protection Regulation (GDPR). Vanaf 25 mei aanstaande zijn de nieuwe Europese privacywetten van kracht voor alle lidstaten van de Europese Unie. De AVG geldt voor alle organisaties die in de lidstaten gevestigd zijn: van groot tot klein en van publiek tot privaat. Organisaties die nog onvoldoende voorbereid zijn, of nog moeten starten met voorbereiden, moeten nu in actie moeten komen om nog op tijd klaar te zijn voor de nieuwe regelgeving. Afwachten tot 25 mei is echt geen optie. Welke stappen dient u te nemen om AVG compliance te worden?

Onduidelijkheid bij ondernemers over AVG

Wij merken dat de nieuwe privacyverordening menig vragen oproept bij ondernemers. Vragen die wij veelal krijgen zijn:

  • Waar en hoe moet ik beginnen?
  • Welke technische en/of juridische maatregelen moeten er worden getroffen?
  • Wat is minimaal benodigd is om compliant te zijn?

De kern van de AVG bestaat uit privacyrechten van individuen die verder worden uitgebreid én dat organisaties de verantwoordelijkheid krijgen om dit te waarborgen. Dit betekent dat organisaties een informatieplicht hebben om te melden welke persoonsgegevens zij opslaan en hoe zij dat doen. In deze blogserie behandelen wij globaal een aantal stappen om u te helpen in het proces hoe uw organisatie AVG compliant kan worden.

Eerste stappen compliance AVG/GDPR

De eerste stap om aan de slag te gaan is het inventariseren van de persoonsgegevens die binnen uw organisatie worden verwerkt. Dat biedt overzicht en een goed vertrekpunt voor de te nemen vervolgstappen. De inventarisatie kan gebruikt worden voor het opzetten en inrichten van het zogenaamde “verwerkingsregister”. Dit register maakt o.a. transparant welke persoonsgegevens worden verwerkt en met welk doel, met welke derde partijen de gegevens worden gedeeld en op welke wijze de gegevens worden beveiligd.

In sommige gevallen is het zelfs verplicht om het register aan te leggen en structureel te onderhouden. Wij adviseren overigens het register altijd aan te leggen, omdat daarmee te allen tijde inzage kan worden gegeven aan de privacy toezichthouder over de verwerkingen die plaatsvinden. In Nederland is de toezichthouder de Autoriteit Persoonsgegevens. Het is uiteraard zaak dat bij controle door de Autoriteit Persoonsgegevens het register dan wel is onderhouden en volledig up-to-date is. Het aanleggen en onderhouden van het register is voor organisaties een belangrijk instrument om te voldoen aan de verantwoordingsplicht (“accountability”) onder de AVG om aan te tonen dat de organisatie de privacyregels naleeft.

Verplichte onderdelen register AVG/GDPR

Het register kent een aantal verplichte onderdelen, namelijk:

  • De naam en contactgegevens van de verwerkingsverantwoordelijk of diens vertegenwoordiger;
  • De naam en contactgegevens van de Functionaris Gegevensbescherming (indien van toepassing);
  • De verwerkingsdoeleinden: voor welke doelen de verwerkingen van persoonsgegevens plaatsvinden.
  • Categorieën van betrokkenen en categorieën van persoonsgegevens: dit beschrijft van welke (groepen van) individuen welke persoonsgegevens worden verwerkt. Voorbeelden van categorieën zijn sollicitanten, klanten, medewerkers, etc.
  • Categorieën van ontvangers: dit beschrijft aan wie de persoonsgegevens worden verstrekt / met welke partijen de persoonsgegevens worden gedeeld.
  • Doorgifte aan een derde land of internationale organisatie: wanneer persoonsgegevens worden doorgegeven aan landen buiten de EER, dan moet vermeld worden om welke landen of internationale organisaties het gaat.
  • De bewaartermijn: er moet vermeld worden hoe lang de persoonsgegevens worden bewaard. Hiervoor kunnen wettelijke bewaartermijnen van kracht zijn, maar bewaar persoonsgegevens in ieder geval nooit langer dan nodig is! Een bewaartermijnen beleid kan hiertoe heldere regels en richtlijnen bieden.
  • Beveiligingsmaatregelen: dit betreft een algemene beschrijving van de getroffen technische en organisatorische

Kosten/baten-analyse register

Het opzetten, invullen en onderhouden van het register kan veel tijd en inspanning in beslag nemen. Naar onze mening biedt het register, ook wanneer het niet verplicht is om aan te leggen, desalniettemin grote voordelen.

Ten eerste omdat het een overzicht geeft van de verwerkingen die binnen een organisatie plaatvinden. Het geeft overigens ook inzicht in de onderdelen van de AVG waar (aanvullende) maatregelen nodig zijn. Dit kan bijvoorbeeld zijn op het gebied van gegevensbeveiliging, bewaartermijnen beleid, het toetsen van de rechtmatigheid van de verwerkingen en of er niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is.

Daarnaast is het een zeer geschikt middel om te voldoen aan de verantwoordingsplicht, waarbij de verwerkingen voor toezichthouders goed inzichtelijk zijn gemaakt. Tot slot draagt het bij aan de naleving van de informatieplicht naar betrokkenen en het kunnen faciliteren van rechten van betrokkenen, waaronder inzage, correctie en wissing. Kortom, een zeer verstandige keus dus om een register te gebruiken.

Seminar AVG/GDPR toepassen binnen uw organisatie

Bent u benieuwd hoe u AVG/GDPR binnen uw organisatie moet toepassen? Wij verzorgen een aantal seminars waarin wij dit behandelen. Er staat in totaal vijf seminars gepland. U vindt hier meer informatie over het eerstvolgende seminar op 22 maart 2018 in Amsterdam? U kunt zich daar ook aanmelden. Bekijk hier het totale overzicht van onze seminars over GDPR & Cybersecurity in 2018.

 

 

Crowe Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 info@crowehorwath.nl