Nog niet AVG-compliant? Volg deze 5 stappen!

‘Bijna de helft van de sites van politieke partijen overtreedt AVG met cookies’, kopte Tweakers op 20 maart, de dag van de verkiezingen.

Uit onderzoek van VPNgids.nl blijkt dat 45 procent van de politieke partijen de privacywet overtreedt die op 25 mei 2018 in werking trad. Zij zijn niet de enige. Veel organisaties hebben het nog niet voor elkaar gekregen de bedrijfsprocessen zo aan te passen dat ze voldoen aan de wetgeving. Dat gaat een probleem worden zodra de eerste boetes in 2019 uitgedeeld worden. Een woordvoerder van de Autoriteit Persoonsgegevens (AP) liet op 14 maart weten dat er op dit moment meerdere onderzoeken lopen naar mogelijke overtredingen van de AVG. Wanneer blijkt dat er inderdaad sprake is van een overtreding, kunnen er snel boetes volgen.

Hoe komt het nu dat het ‘huis’ bij de meeste organisaties een jaar na D-day nog steeds niet op orde is? Reden daarvoor is het gebrek aan expertise op het gebied van privacy en security waardoor organisaties onbekend zijn met de gevolgen van de AVG. Ook hebben organisaties vaak geen idee welke stappen ze nog moeten zetten. Ze hebben er wel tijd en moeite in gestoken, maar nu zijn er weer andere onderwerpen die aandacht vragen. De laatste loodjes wegen niet voor niets het zwaarst. Met de volgende vijf tips zorg je ervoor dat jouw organisatie compliant is en het risico van een boete, of erger nog, reputatieschade vermijdt:

Tip 1: Een andere manier van werken voor de hele organisatie

De AVG heeft potentieel impact op elk proces en ieder systeem in de organisatie. Dit vraagt om een andere manier van werken: elke overeenkomst, al het beleid, ieder systeem en elke applicatie moet worden onderzocht en eventueel worden aangepast. De meeste organisaties zijn zich niet bewust van wat ‘een andere manier van werken’ inhoudt, laat staan welke acties er moeten worden opgepakt. Het is zinvol je hierover te laten informeren.

Tip 2: Privacy- en informatieveiligheidsbeleid

Het opstellen, invoeren en naleven van een privacy- en informatieveiligheidsbeleid is een verplichting bij het voldoen aan de AVG. Het is van belang dat alle medewerkers in een organisatie, van receptie tot IT en van HR tot marketing en sales, op de hoogte zijn van de getroffen maatregelen. Een recruiter zal zich bijvoorbeeld afvragen wat hij wel of niet mag doen met de cv’s die hij ontvangt. Mag hij ze gewoon bewaren, of kan dat niet langer? En zo ja, hoe lang mag hij de cv’s bewaren? En belangrijker nog: Hoe komt hij er überhaupt achter wat wel en niet mag? Met een privacy- en informatieveiligheidsbeleid weten deze recruiter en alle andere medewerkers wat hen te doen staat.

Tip 3: Privacy by design

Om ervoor te zorgen dat privacy in de organisatie geborgd wordt is het aan te raden privacy centraal te stellen bij het opstarten van nieuwe processen en het ontwerpen van nieuwe softwaresystemen. Hierdoor blijft de aandacht voor privacy tijdens het gehele proces en tijdens de gehele levensduur van een softwaresysteem bestaan. Denk bij het vormgeven van processen en systemen aan welke persoonlijke gegevens echt nodig zijn om op te slaan en welke niet. Ook moet rekening worden gehouden met de totale levenscyclus van data: verzameling, opslag, wijziging en vernietiging. Naast de technische aspecten spelen ook organisatorische aspecten een rol. Om bij het voorbeeld van de recruiter te blijven: Denk aan het instellen van een bewaartermijn in bijvoorbeeld het CRM-systeem. Dat zorgt ervoor dat bepaalde categorieën informatie na een bepaalde termijn worden vernietigd. Indien je bijvoorbeeld een bewaartermijn van drie maanden zou instellen, dan is het privacy by design-aspect dat het CRM-systeem na die termijn de gekozen informatie automatisch wist.

Tip 4: Compliancy én accountability

Het is niet alleen van belang dat organisaties compliant zijn aan de privacywet, ze moeten ook accountable zijn, en daarin transparant zijn, dus kunnen aantonen dat zij voldoen aan de verplichtingen van de AVG. Dit betekent dat zij alle maatregelen moeten documenteren. Denk hierbij aan het bijhouden van een verwerkingsregister, het op schrift stellen van een passend gegevensbeschermingsbeleid en het vastleggen van de wijze waarop je toestemming vraagt indien dit het geval is.

Tip 5: Blijf evalueren

Omdat wet- en regelgeving, tools, processen en systemen altijd aan verandering onderhevig zijn, is het belangrijk om continu te evalueren of de persoonsgegevens nog steeds op correcte wijze worden verwerkt. Dit betekent dat een eenmalige AVG-implementatie niet volstaat. De AVG vraagt om continue aandacht van een organisatie. Het naleven van de regels en voorschriften moet daarom verweven zijn met de dagelijkse werkzaamheden van de medewerkers. Wanneer men als vanzelfsprekend de juiste procedures uitvoert en de juiste vragen stelt, weet je dat je AVG-beleid geslaagd is.

 

De nieuwste artikelen in uw mailbox?
Blijf op de hoogte met de Eburg nieuwsbrief!