De AGV (Algemene Verordening Gegevensbescherming) is bijna een jaar van kracht. Tijd om de tussenstand op te maken. Veel bedrijven keken met vrees naar de handhaving van deze verordening. Immers overtredingen zouden worden beboet met flinke boetes. Onlangs kwam de Autoriteit Persoonsgegevens (AP) met een toelichting over de reden en hoogte van boetes.
Zijn er grote boetes uitgedeeld? Jazeker. Grote organisaties waaronder Google hadden de zaken niet op orde. De privacy-voorwaarden waren niet toegankelijk. Gebruikers moesten daarnaast te veel handelingen uitvoeren om hun gegevens in te zien en haalde Google te veel informatie op zonder de uitdrukkelijke toestemming van burgers.
Uit onderzoek is verder naar voren gekomen dat een kwart van alle bedrijven in 2019 nog steeds niet helemaal klaar is. Best wel verontrustend dus.
Meer controle is een concurrentievoordeel
Het goede nieuws is dat met de komst van de AVG veel bedrijven zich er bewust van zijn geworden dat er voorzichtig omgegaan moet worden met data. De AVG heeft ervoor gezorgd dat bedrijven die compliant zijn, een overzicht hebben van de data. Ze weten waar wat is opgeslagen en hebben meer controle.
Zijn processen en systemen op orde, dan hebben organisaties meer grip op data en daarmee een strategisch voordeel op de concurrentie. Slimme registratie software is hierin een belangrijke schakel. Tijdregistratiesoftware leverancier AvanTimes biedt hierin vele oplossingen. Bijvoorbeeld met de HR module of urenregistratiesystemen. En met de toegangscontrolesoftware bieden ze oplossingen in optimale controle en veiligheid.
AVG-compliant
Het grootste vraagstuk dat nu bij bedrijven leeft, is hoe je ervoor kunt zorgen dat je compliant blijft. De meeste organisaties hadden 25 mei 2018 rood omcirkeld in de agenda staan en voldeden op of rond die datum aan de gestelde privacy-eisen. Maar hoe kun je over een jaar checken of je nog steeds compliant bent? Hoe zorg je ervoor dat de AVG op de agenda blijft staan?
Het belangrijkste daarbij is dataprivacy goed te beleggen in de organisatie. Zorg dat alle partijen, van de IT-afdeling tot marketing, bij elkaar aan tafel zitten om te zorgen dat alle processen en procedures op orde zijn. Stel iemand aan die is belast met privacy, ook als het niet verplicht is.
Is uw organisatie wel AVG compliant?
Zet de AVG binnen uw organisatie weer op de kaart!
Ik geef u aan aantal tips om AVG compliant te zijn en/of te blijven.
- Maak uw systemen AVG-compliant Het systeem moet verhinderen dat per ongeluk een BSN-nummer wordt opgeslagen in plaats van een geboortedatum. De bewijslast ligt tenslotte altijd bij de organisatie. Daarvoor moeten systemen datastromen realtime en foutloos kunnen beheren.
- Stel een functionaris gegevensbescherming aan Het is verstandig om een functionaris gegevensbescherming (FG) aan te stellen. Je hebt hiermee een aanspreekpunt. Een functionaris gegevensbescherming is verantwoordelijk voor het opstellen, bijstellen, vernieuwen en herzien van het informatiebeveiligingsbeleid.
- Maak een register van verwerkingen Organisaties zijn verplicht verantwoording af te leggen over de gegevensverwerking. Dat doe je met een register van verwerking. Dit is een document waarin je laat zien welke technische en organisatorische maatregelen zijn getroffen om de persoonsgegevens te beveiligen. Analyseer alle processen waar en hoe de organisatie privacygevoelige data verwerft, verwerkt en wie bij die gegevens kunnen. Het is hierbij ook belangrijk om te weten waarom je data verzamelt en verwerkt. De wet is strikt in de zogenaamde doelbinding. Privacygevoelige gegevens mag je alleen opslaan en verwerken voor het doel waar de burger traceerbaar expliciete toestemming voor heeft gegeven. Dat geldt ook voor alle eerder opgeslagen data.
- Zet de data eigenaar achter de knoppen Onder de AVG krijgen de mensen van wie je persoonsgegevens verwerkt meer rechten. Naast het al bekende recht op inzage, correctie en verwijdering krijgen burgers het recht op dataportabiliteit. Deze regel heeft geen betrekking op B2B-relaties waarbij een klant data in een SaaS-applicatie heeft staan. De verwerker heeft dan de keuze om bij beëindiging van de instemming de data of terug te geven of te vernietigen.
En vergeet onderstaande tips niet
- Maak een data protection impact assessment Is er sprake van een groot privacy risico bij de verwerking van persoonsgegevens? Dan is een data protection impact assessment (DPIA) verplicht. Dit is een instrument waarmee je vooraf de privacy risico’s van gegevensverwerking in kaart brengt. Vervolgens kun je maatregelen nemen om de risico’s te verkleinen.
- Stel een verwerkersovereenkomst op Bedrijven werken tegenwoordig bijna niet meer of of volledig op zichzelf. Allerlei zaken besteden zij uit, inclusief het verwerven, opslaan en verwerken van data. Je bent pas zelf AVG-compliant als je verwerkers en sub-verwerkers dat ook zijn.
- Digitale veiligheid Voldoen aan de AVG is een kwestie van continu systemen en processen doorlichten. Laat daarom jaarlijks een audit uitvoeren en pas zo nodig systemen en processen aan zodat je compliant blijft
- Bewustwording en training
Over de auteur
