In het kort: wat houdt de Europese Privacy verordening in?
Bedrijven en instellingen moeten aantonen dat ze voldoen aan deze nieuwe Europese Privacy verordening, hetgeen extra inspanningen en investeringen van u vereist. Als voorbeeld: u dient een verwerkingsregister op te stellen, waarmee u onder andere moet bijhouden welke persoonsgegevens uw organisatie verwerkt, wat de verwerkingsdoeleinden zijn, hoe lang de gegevens worden bewaard en welke maatregelen zijn getroffen om privacy risico’s te beperken. U dient alles volgens de nieuwe verordening te doen, te documenteren, te evalueren, te wijzigen en te verbeteren. Persoonsgegevens zijn onder andere ook de persoonlijke gegevens van uw werknemers en klanten.
AVG-proof?
In augustus 2017 kopte het Financieel Dagblad stevig op de voorpagina: “Bedrijven in paniek over Europese privacywet”. Er werd een flinke inspanningen gevraagd om aan deze wetgeving te voldoen. Daarbij gaat het niet zozeer om het oplossende vermogen van de IT-afdeling door bijvoorbeeld extra beveiligingsmaatregelen, maar ook om het feit dat je continu bewust bent van de risico’s die er zijn als er (nieuwe) gegevens worden verzameld. Hierbij speelt de betrokkenheid van de directie/bestuurders een belangrijke rol! Is uw bedrijf volledig AVG-proof?
Praktische stappen
Wat moet u doen om te voldoen aan de Europese Privacy verordening GDPR/AVG?
- Veranker privacy- en gegevensbescherming op het hoogste niveau binnen uw organisatie
- Voer een analyse uit om uw privacy risico’s te identificeren en middels passende technische en organisatorische maatregelen te beheersen (DPIA)
- Maak een verwerkingsregister met daarin de vastlegging hoe privacygevoelige gegevens worden verwerkt.
- Classificeer uw persoonsgegevens zodanig dat u voldoet aan wettelijke bewaartermijnen én zodat u gegevens tijdig kunt verwijderen.
- Evalueer bestaande contracten met partijen waarmee u gegevens deelt.
- U bent verplicht verwerkersovereenkomsten te sluiten met toeleveranciers en afnemers.
- Stel een procedure op voor het adequaat anticiperen en afhandelen van een datalek.
- Verhoog het privacy-bewustzijn van uw medewerkers door gerichte activiteiten.
- Stel een op de Verordening gebaseerd privacybeleid op of pas het bestaande beleid hierop aan.
- Informeer de betrokkenen over wat er met hun persoonsgegevens gebeurt.
- Stel vast of uw organisatie over een functionaris gegevensbescherming moet beschikken.
Voor de complete inhoud van deze wetgeving:
Bekijk de Autoriteit persoonsgegevens
Hoe staat u er voor?
Kröller Boom is al ruim 5 jaar intensief bezig de rondom cyber-gerelateerde risico’s te volgen en te analyseren, om u zo van up-to-date kennis en advies te kunnen voorzien. Wij hebben samen met onze Cyber Security partner Northwave een tooling ontwikkelt om u binnen een hele korte termijn goed inzicht te geven (State of Security Assessment) waar u op dit moment staat t.a.v. de GDPR/AVG vereisten en hoe u door middel van korte en langere termijn stappen hier aan kunt voldoen, inclusief inzicht in de mogelijke extra investering. Hierdoor heeft u controle en inzicht, zodat u uw strategie rondom cyberrisico’s hierop aan kan passen, zowel voor uw eigen business continuïteit als richting de EU-wetgever.