De voorkant van uw AVG-beleid staat...​

Maar hoe is het gesteld met de achterkant?

Op de website staat de nieuwe Privacy Statement, uw jurist is tevreden, maar is dit een goed voornemen of het resultaat van hard doorwerken?

Privacy raakt vele onderdelen van uw organisatie, maar uw automatisering kan u vele databases en files aanwijzen die moeten worden beoordeeld. Ook privacy awareness vergt meer inspanning dan een memo vanuit het MT. 

Odoo afbeelding en tekstblok
Odoo afbeelding en tekstblok

Ons AVG onderzoek

Na een korte inventarisatie onder MKB organisaties in de regio Noord-Holland blijkt dat een groot deel (20%) van de organisaties nog niet eens begonnen is met het invoeren van de Algemene Verordening Gegevensbescherming (AVG) vereisten. Sommigen daarvan zijn een beetje begonnen en weer sommigen zijn opgewekt begonnen met de implementatie maar weer stilgevallen na 25 mei bij gebrek aan kennis en mankracht. Slechts een klein deel blijkt de boel goed op orde te hebben of zijn zelfs bijna zo ver dat ze jaarlijks de zaken rondom AVG simpelweg kunnen gaan bijhouden.

Voor de meeste managers kan de AVG dan eindelijk van de to do lijst af zou je denken.  Is dit een terechte veronderstelling of toch niet?

Wat nu?

De AVG vervangt de Wet Bescherming Persoonsgegevens (WBP) en zorgt voor versterking en uitbreiding van privacyrechten rondom persoonsgegevens in Europa en tegelijkertijd ook voor meer verplichtingen waaraan uw organisatie dient te voldoen. Dit besef is blijkbaar nog niet overal doorgedrongen.

De middelgrote bedrijven blijken aan de voorkant hun privacy goed geregeld te hebben. Daarmee bedoelen wij de volgende items:

  • Privacy statement, Privacy e-mail adres en cookiebeleid staan op de website

  • Klanten zijn op de hoogte van het Privacy statement;

  • De verantwoordelijke Functionaris Gegevensbescherming - indien nodig - of team van verantwoordelijken binnen de organisatie die belast zijn met de AVG zijn benoemd en in functie;

  • Verwerkingsregister is gemaakt;

  • Verwerkingsovereenkomsten zijn gemaakt. Wie is de processor of controller ? Dat is vaak ook nog wel een vraag.

Fase 1 en 2 van de AVG implementatie kunnen worden afgevinkt. Goed bezig.

Het antwoord op de vraag : 'Kan dit item van de To do lijst af?' NEE

Wat valt er dan nog te doen? Genoeg, zoals:

Medewerkers informeren over de AVG:

Datalekken worden vaak door medewerkers veroorzaakt, omdat zij niet voldoende zijn ingelicht over het belang van hun positie binnen de organisatie en vaak niet weten wat de gevolgen kunnen zijn wanneer er een 'fout' wordt gemaakt.

 

Het LogicQ AVG Informatiebeveiligingsplan

Met behulp van dit plan worden de AVG-eisen duidelijk aan medewerkers toegelicht volgens het 'comply or explain' (pas toe en leg uit) principe, inclusief de verwachte impact op hun werkzaamheden van de nieuwe e-Privacy wet, die volgend jaar wordt geïntroduceerd. Met heldere voorbeelden zorgen wij ervoor dat uw medewerkers weten wat ze doen en waar ze staan in hun werkomgeving op het gebied van informatiebeveiliging.

Video in en buiten het bedrijfspand:

Hoe zit het eigenlijk met het AVG protocol rondom video opnames van medewerkers en klanten binnen uw organisatie? Daar is aardig wat om te doen. We leggen het graag uit.

Bedrijfsdata & minimalisatie

Het lijkt wellicht niet zo relevant maar een correcte bedrijfsvoering staat of valt met de wijze waarop de opslag van bedrijfsdata binnen uw organisatie is georganiseerd. Dit heeft ook weer te maken met de werkzaamheden van uw medewerkers. Daaronder vallen trouwens ook de fysieke dossiers. Over het algemeen ingewikkelde vraagstukken die niet vandaag of morgen opgelost zijn.

Privacy Data Minimalisatie Meetup!

Hierover wisselen wij graag met u van gedachten tijdens onze Privacy Data Minimalisatie Meetup!

Genoeg te doen dus!

    Geef u op voor onze Privacy Meetup en spreek onze de AVG specialisten van LogicQ Consulting - wij helpen u graag met de 'achterkant' en de 'voorkant'.

    (data, security, informatiebeveiliging, medewerkers etc.) 

                                Maatregelen op de AVG

                                Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Organisaties die persoonsgegevens verwerken krijgen dan meer verplichtingen. De nadruk ligt - meer dan nu - op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Dat vergt een gedegen voorbereiding.

                                Als organisatie kunt u nu al stappen ondernemen om straks klaar te zijn voor de AVG. Onderzoek alvast of u uw huidige processen, diensten en goederen op bepaalde punten moet aanpassen om te voldoen aan de AVG.

                                10 Stappen Plan

                                Om u op weg te helpen, heeft de Autoriteit Persoonsgegevens (AP) de 10 belangrijkste stappen voor u op een rijtje gezet. Dat zijn:

                                1. Bewustwording

                                2. Rechten van betrokkenen

                                3. Overzicht verwerkingen

                                4. Data protection impact assessment (DPIA)

                                5. Privacy by design & privacy by default

                                6. Functionaris voor de gegevensbescherming

                                7. Meldplicht datalekken

                                8. Bewerkersovereenkomsten

                                9. Leidende toezichthouder

                                10. Toestemming

                                Over de auteur

                                Pauline van Alderwerelt van Rosenburgh is partner bij LogicQ.

                                Zij heeft diverse functies binnen en buiten LogicQ bekleed en geeft operationele sturing aan de Service Unit Consulting. 

                                Op dit ogenblik is zij op diverse wijze betrokken de ontwikkelingen rond privacy rechten.