27 september 2018

De AVG is een feit: wat te doen als je nog niet zo ver bent?

De Algemene Verordening Gegevensbescherming is nu al enige tijd volledig van kracht. Onderzoek wijst echter uit dat bijna de helft van de Nederlandse organisaties in de regel nog steeds niet echt AVG compliant is. Is jouw organisatie, klein of groot, eigenlijk nog niet helemaal AVG-proof? Focus je dan eerst op daar waar je het meeste risico loopt. Daarin sta je niet alleen, er zijn veel bronnen en hulpmiddelen die je hierbij kunnen helpen.

 

Vragen afgelopen jaar niet veranderd

Wat mij opvalt in de vele gesprekken over de AVG met klanten en partners is dat de vragen, ook nu na de implementatiedatum, nauwelijks zijn veranderd. Die vragen zijn vooral: wat houdt het nu precies allemaal in, geldt het wel echt voor mij en moet ik nog veel doen om compliant te zijn? En wat moet ik dan eigenlijk precies doen?

 

1. Wat is het nou eigenlijk ook al weer?

Voor wat betreft de eerste vraag: de AVG vraagt van iedere organisatie om goed om te gaan met persoonsgegevens van anderen. Dat is een heel relevante vraag, nu digitalisering in iedere organisatie een grote rol speelt. Nagenoeg iedereen werkt met persoonsgegevens en het is goed dat dat op een transparante manier gebeurt. Ook bij Computron geloven we dat privacy een fundamenteel mensenrecht is.

 

2. Voor wie?

Eigenlijk is de tweede vraag ook al beantwoord, want de AVG geldt net zo goed voor grote internationale bedrijven als voor de bakker op de hoek. Het geldt immers voor elke organisatie die te maken heeft met elke vorm van persoonsgegevens. Denk daarbij aan telefonische of digitale bestellingen op naam of een klantenbestand om gepersonaliseerde e-mails te versturen.

 

3. Hoe voldoe je alsnog aan de AVG?

De derde vraag is lastiger te beantwoorden. Want wanneer voldoe je wel en wanneer niet? Er zijn weliswaar certificeringen en codes of conduct, maar veel moet uit de praktijk en uit toekomstige jurisprudentie blijken wat naleving precies inhoudt. Dat laat overigens onverlet dat de Autoriteit Persoonsgegevens naast de letterlijke artikelen van de wet ook handige inzichten deelt via zijn website. Het gaat in de kern om het identificeren, zorgvuldig beheren en goed beveiligen van data en er nauwkeurig over kunnen rapporteren. Dat begint bij goed nadenken over welke data je hebt, waarom je die hebt, of je die écht nodig hebt en hoe je ermee omgaat. Dan zal je zien dat je al een eind op weg bent!

 

4. Nog niet zo ver? Focus dan daar waar je het meeste risico loopt!

Wie nu aan het begin staat, doet er goed aan om te starten met de meest risicovolle punten. Dus waar loop je het meeste risico dat er iets mis gaat met de gegevens van betrokkenen? Vanuit daar werk toe naar de overige zaken. Let daarbij ook goed op wat in de AVG bijzondere persoonsgegevens worden genoemd. Niemand wil in het nieuws komen met een datalek, zeker niet als het om gevoelige persoonsgegevens gaat. Kom je er zelf niet uit, zoek dan hulp om het goed te organiseren.

 

Maak gebruik van al beschikbare tools

Het is verstandig om goed te kijken naar al bestaande tools om het je makkelijker te maken. Zo zitten er binnen Office 365 al boordevol handige hulpmiddelen. Zo kan je nu bijvoorbeeld gevoelige gegevens als BSN-nummers in documenten detecteren en word je erop geattendeerd dat dat een bijzonder persoonsgegeven is. Outlook geeft nu een extra melding als je een document aan iemand buiten je organisatie verstuurt. Hiermee kun je voorkomen dat je per ongeluk mailt naar een (verkeerd) extern adres. Niet onbelangrijk, want het versturen van een mail met persoonsgegevens erin naar een verkeerde ontvanger is namelijk een datalek dat je moet rapporteren. Verder kun je als kleine organisatie bijvoorbeeld prima in Excel een (verplicht) verwerkingsregister bijhouden. De Autoriteit Persoonsgegevens deelt op zijn website richtlijnen waar dat register aan moet voldoen.

 

Benader de AVG positief

Het is in veel gevallen niet nodig om het wiel opnieuw uit te vinden. Ben je bijvoorbeeld al compliant met Wet Bescherming Persoonsgegevens (WPB), dan is er al veel overlap met de nieuwe wet. AVG levert inderdaad werk op en in sommige gevallen is het afhankelijk van het soort persoonsgegevens en organisatie zelfs flink wat werk. Toch raad ik aan om het niet te complex te maken en vooral ook positief te benaderen. De AVG biedt de mogelijk om kritisch naar je datahuishouding te kijken, dan blijkt vaak dat er vooral ook veel kansen zijn waar je organisatie alleen maar beter van wordt.

Computron heeft veel ervaring met het begeleiden en beheren van AVG-compliancy voor jouw organisatie. Bovendien stoppen wij daar niet bij – Computron herkent kansen tijdens het traject en handelt daarop. Denk dan bijvoorbeeld aan het verbeteren van security, processen en contractmanagement. Zo creëer je waarde uit de privacywetgeving, in plaats van verplichtingen.