AVG stappenplan e-proQure

Stappenplan voor implementatie AVG

Een stappenplan voor de implementatie van de Algemene Verordening Gegevensbescherming of een check op het voldoen aan de AVG. Wij krijgen hierover de afgelopen maanden regelmatig vragen. Immers, de nieuwe wetgeving treedt 25 mei a.s. in werking. De boetes bij overtreding van de EU-wetgeving en de bijbehorende publieke blamage kunnen je organisatie diep raken.

Je mag ervan uitgaan dat de AVG je al snel raakt. Zo is de AVG al relevant wanneer je organisatie personeelsgegevens opslaat of laat verwerken (bijv. voor de salarisverwerking). Ook inkoopsoftware kan persoonsgegevens bevatten. Denk aan de verwerking van inhuurcontracten, onkostenmodules en leveranciersmanagementsoftware. Het voldoen aan de AVG raakt organisaties en haar medewerkers dus al snel.

Overheden en publiek hebben serieuze aandacht voor digitale privacy

In 2016 hebben we je geïnformeerd over de nieuwe wet Melding Datalekken. Met wereldwijd meer dan twee miljard gestolen persoonsgegevens was het niet verwonderlijk dat in EU-verband werd gewerkt aan wat nu de AVG is geworden.

Naast het lekken van gegevens heb je uit het nieuws kunnen vernemen dat persoonsgegevens op grote schaal worden misbruikt. Ook legale organisaties als verzekeringsmaatschappijen schamen zich blijkblaar niet om via retargeting (combinatie van pixel tracking en cookies) uw doen en laten op internet te misbruiken of zelfs te verkopen.

Het is dan ook logisch dat de (Europese) wetgever serieus zaak maakt van privacy. Overtredingen van de AVG in combinatie met datalekken zullen naar verwachting dan ook leiden tot verkeerde aandacht en hoge boetes.

Het effect van de AVG op je organisatie is met name afhankelijk van:

  • De omvang van de organisatie (> 250 medewerkers?)
  • Privacygevoeligheid van de opgeslagen en verwerkte gegevens
  • Aard van de bewerking van gegevens

Daarnaast is het ook van belang om te weten of bepaalde gegevens wel opgeslagen en bewerkt mogen worden.

AVG implementatie: checklist & stappenplan

De AVG telt met onder meer 99 wetsartikelen een groot aantal eisen aan bestuur, beleid, procedures en processen. Deze worden in Nederland door de Autoriteit Persoonsgegevens zo nodig met publicaties aangevuld c.q. verduidelijkt.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving
Meer informatie vanuit de Autoriteit Personeelsgegevens

Het AVG-proof maken en houden vraagt juridische, organisatorische en technische kennis. Het is dan ook belangrijk dat deze kennisgebieden voldoende zijn vertegenwoordigd bij het AVG-proof maken en houden van de organisatie.

Juridische kennis is nodig vanwege de volledige en juiste interpretatie van de wettelijke vereisten. Technische (ICT) kennis om aan de eisen van informatiebeveiliging te voldoen. Een evenwichtige organisatorische vertegenwoordiging dient te zorgen voor zowel een breed draagvlak als voor het vaststellen en uitvoeren van de benodigde procedures en processen.

Stap 1. Bestuurlijke verankering van AVG

Het toepassen van de principes van de Corporate Governance Code is een belangrijke maatstaf voor goed bestuur binnen organisaties. Het benadrukt de verantwoordelijkheid voor de maatschappelijke aspecten van ondernemen, waaronder het voldoen aan wetgeving. Het voldoen aan de AVG zou dan ook volledig ondersteund moeten worden vanuit het senior management.

Het niet hieraan voldoen wordt gelijkgesteld aan onprofessioneel dan wel onverantwoord bestuur.

De eerste stap bestaat dan ook uit het zorgen voor een aanpak waarbij het belang van privacybescherming volgens de AVG blijkt uit:

  • de communicatie en acties vanuit het senior management en
  • een breed begrip en betrokkenheid bij medewerkers

Het initiatief hiervoor zou vanuit senior management moeten komen. In het bijzonder diegene die belast is met internal control of corporate governance. Mocht dit niet het geval zijn, dan is dit degene aan wie je je kunt richten.

Het AVG-proof willen maken van een organisatie zonder de bestuurlijke verankering is in de regel kansloos, maatschappelijk ongewenst en zal grote gevolgen hebben voor de aansprakelijkheidstelling bij overtreding van de AVG.

Stap 2. Inventarisatie privacybeleid en -procedures en persoonsgegevens

Als het goed is, heeft je organisatie al beleid en procedures op het gebied van privacybescherming en informatiebeveiliging in werking. De AVG vervangt immers de geldende Wet Bescherming Persoonsgegevens (WBP). Hiertoe behoren in veel gevallen een overzicht van aanwezige persoonsgegevens en zo mogelijk een risicoanalyse: het zogenoemde Privacy Impact Assessment.

Om de omvang van de effecten van de AVG in te kunnen schatten, is een inventarisatie van persoonsgegevens onmisbaar.
Zowel vanuit het oogpunt van optimale procesvoering als mogelijk vanuit de wettelijke verplichting (AVG art. 30) is het verstandig om een zogenoemd verwerkingsregister aan te leggen. Hierin moet minimaal worden vastgelegd welke persoonsgegevens waarom, op welke wijze en door wie worden opgeslagen en verwerkt.

Het verwerkingsregister zal in het verdere verloop een belangrijk referentiekader vormen. Onder andere voor:

  • het toetsen van relevantie van AVG-bepalingen en daarmee de gevolgen voor de te nemen maatregelen;
  • het refereren van gegevens(groepen) aan risico’s, specifieke procedures, verwerkers, e.d.;
  • het kunnen voldoen aan de verantwoordings- en informatieplicht;

Stap 3. Inventarisatievereisten vanuit de AVG

De volgende stap bestaat uit het vaststellen van de eisen die de AVG stelt. Deze eisen zijn divers. Ze raken zowel de gehele hiërarchie binnen een organisatie alsook verschillende (staf)functies.

Een vertaling van zowel de geest van de wet als de interpretatie van specifieke bepalingen vraagt om juridische ondersteuning.

Aan de hand van de wettelijke bepalingen kan voor de verschillende typen persoonlijke gegevens worden bepaald welke procedures, processen en verantwoordelijkheden dienen te gelden.
Ook de implicaties voor het privacybeleid, het beleggen van de verantwoordelijkheid bij een specifieke functionaris voor gegevensbescherming en de technische (ICT) gegevensbeveiliging kunnen worden vastgelegd.

Naar volledige wettekst EU AVG

Checklist AVG

Het geheel van protocollen, processen e.d. dat geïmplementeerd zou moeten worden, verschilt per organisatie.
De volgende aandachtspunten mogen echter in geen enkele checklist ontbreken:

  • Privacy beleid
  • Gegevensbeveiligingsbeleid
  • Meldingsprocedure datalekken
  • Verantwoordelijke functionaris
  • Verwerkingsregister (wat, waarom, risico’s, verwerkingsprocessen, e.d.)
  • Privacy by Design & Default (voor verwerkingsprocessen)
  • Periodieke Data Protection Impact Analysis
  • Procedure voor informeren van betrokkenen over verwerking
  • Procedure voor verschaffing informatie (verschaffingsplicht)
  • Verwerkingsovereenkomsten (opslag en verwerking bij derden)

Stap 4. Implementatie en onderhoud van beleid en processen

Het AVG-proof zijn van je organisatie is geen momentopname. Datalekken of illegale opslag en verwerking van persoonlijke gegevens kunnen immers elk moment ontstaan of plaatsvinden.

Na de besluitvorming die volgt op stap 3 dient het niveau van gegevensbescherming op peil te blijven. Zo dienen het verwerkingsregister, DPIA’s (GDPR Data Protection Impact Assessments) en beveiligingsmaatregelen te worden geactualiseerd en het bewustzijn op peil te blijven.

Voor zover er binnen je organisatie geen kwaliteitsbeleid aanwezig is voor het continue handhaven en verbeteren van processen, dan is nu het moment om dat in te voeren.

In de meest eenvoudige, maar breed bekende vorm kan hiervoor de Plan-Do-Check-Act cyclus worden ingevoerd.

Is jouw organisatie al AGV-proof?

Bescherming van persoonsgegevens en privacy is een actueel en beladen onderwerp. De maatschappelijke verantwoordelijkheid is net als de aandacht vanuit de (EU-)wetgever groot. Het AGV-proof maken en houden van een organisatie is dan ook een must.

Het AGV-proof worden is geen makkelijke opgave. Het vraagt om voldoende juridische, ICT en organisatorische kennis en een brede betrokkenheid.

Zaak dus om dit goed geregeld te hebben. Twijfel je over de situatie binnen je eigen organisatie of heb je behoefte aan ondersteuning, neem dan gerust contact op met één van onze kennispartners.

Wim Vriend

Kennispartner

Scroll naar boven