Hoe staat het met de AVG voortgang binnen uw onderneming?

Veel ondernemingen hebben door dat afwachten niet voldoende is. AVG Bewijs heeft een aantal punten opgesteld om er zo voor te zorgen dat ook de nog niet zo actieve MKB ondernemers hier een blauwdruk hebben voor de te nemen stappen inzake de AVG wetgeving.

De 25e van mei komt steeds sneller dichterbij. Meer en meer vragen zullen er worden gezocht worden omtrent de AVG wetgeving. Daarom hebben wij hier een aantal punten omschreven om uw onderneming antwoorden te kunnen geven zodat de stappen die nog genomen moeten worden in ieder geval helder zijn.

Wanneer u bij elk van deze onderstaande vijf punten reeds een oplossing binnen uw onderneming heeft ingeregeld dan bent u goed op weg om de komende AVG goed na te kunnen leven. Hulde!

Is er een “up to date” informatie beleid?
Is er een verwerkingsregister?

Is “privacy by design/default” het startpunt binnen uw processen?

Is er een duidelijk proces aanwezig in geval van een datalek?

Is er een manier om de privacy rechten van uw gebruikers te beheren?

Informatie beleid

Zonder beleid en het niet hebben van een verantwoordelijkheid (dus het aanspreekbaar kunnen zijn op het uitvoeren van een specifieke taak, handeling of besluit ook wel governance genaamd) op het gebied van bijvoorbeeld informatie beveiliging wordt het een flinke uitdaging om de persoonsgegevens die je verwerkt goed en consistent te kunnen rangschikken. Deze “classificatie” van gegevens is één van de minimale vereisten in het kunnen bouwen aan een goed en effectief informatie beleid.

Overzicht verwerkingen

Geef zo veel mogelijk inzicht in uw processen rondom de verwerking van gegevens. Wie binnen uw organisatie en wat waar en waarom verwerkt hij of zij gegevens. Laat een ethiek ingestelde hacker op zoek gaan naar fouten in uw klantspecifieke code door een penetratie test uit te voeren. Geef uw onderneming inzicht in kwetsbaarheden in systemen en processen maar tevens inzicht rondom de verwerkingen van gegevens in uw onderneming en of deze zijn beoordeeld en of deze privacy gevoelige data in de geteste systemen daadwerkelijk veilig zijn. Het ultieme voor uw onderneming hierin zou een check of beoordeling van uw gegevens beveiliging zijn, een dergelijke beoordeling wordt de DPIA (data privacy impact assessment) genaamd.

Privacy by Design

Het handelen op grond van de principes “privacy by design” en “privacy by default”. Dit houdt in dat er niet meer dan nodig wordt uitgevraagd in de processen die uw onderneming gebruikt als voorbeeld: bij het aanmelden op een nieuwsbrief hoeft een gebruiker niet zijn of haar telefoonnummer op te geven. Tevens houdt dit in dat er bijvoorbeeld geen selectievakjes binnen formulieren automatisch op aan staan, de gebruiker bepaald.

Datalek

We hebben het over een datalek als ongeautoriseerde personen toegang krijgen tot persoonsgegevens. Er geldt een meldplicht van een dergelijk datalek binnen 72 uur. Vooraf zal er dus een aantal afspraken en regels moeten worden omschreven in een stappenplan in hoe jezelf en de ander handelt bij een datalek. Belangrijk is vooral dat de verantwoordelijken op de hoogte zijn van de procedure en dat men weet wie binnen de organisatie op de hoogte te stellen, zodat de juiste stappen genomen kunnen worden.

Rechten van betrokkenen

De Algemene verordening gegevensbescherming (AVG) kent verschillende rechten toe aan personen van wie persoonsgegevens worden verwerkt (de betrokkenen) en biedt meer middelen om de verwerking van hun persoonsgegevens te controleren en te beïnvloeden. Denk hierbij bijvoorbeeld aan het kunnen aanvragen van informatie, het inzien van gegevens, het kunnen wijzigen van gegevens maar ook het makkelijk kunnen intrekken of verlenen van toestemming omtrent verschillende doelen van verwerking.

Naast deze vijf punten zijn er ook nog de organisatorische aanvullingen binnen een onderneming zoals die van functionaris gegevensbescherming / data protection officer (DPO). De DPO is in veel MKB gevallen geen verplichting tenzij uw onderneming de kerntaak heeft om persoonsgegevens te verwerken, op grote schaal persoonsgegevens verwerkt of u als onderneming bijzondere gegevens verwerkt.

Wij van AVG Bewijs leggen de focus op het kunnen leveren van een laag waarin gebruikers de nieuwe digitale rechten kunnen aanvragen bij een onderneming.

Minimale inzet, maximaal resultaat?

Ontdek en lees verder over onze oplossing.