14 februari 2018

Hoe AVG compliant is je organisatie?

Nog een half jaar te gaan en de nieuwe Algemene Verordening Gegegevensbescherming (AVG) is niet langer alleen een papieren werkelijkheid. Vanaf mei 2018 zal de wet ook actief gehandhaafd worden en kunnen bedrijven die zich er niet aan houden hoge boetes verwachten. Bovendien loop je het risico dat klanten overlopen omdat ze liever zaken doen met een partij die wel voldoet aan de nieuwe regels ten aanzien van privacy.

 

Goed nieuws voor alle Europese burgers

De nieuwe wet betekent een grote stap voorwaarts voor de privacy van alle burgers van Europa. Zij krijgen meer zeggenschap over hun eigen gegevens. Zo moeten ze voortaan altijd toestemming geven voor het opslaan of verwerken van hun gegevens. Ook krijgen ze het recht om deze te laten wijzigen of verwijderen.

 

Maar wat betekent de AVG voor het bedrijfsleven?
Voor bedrijven en organisaties is de AVG op het eerste gezicht minder aantrekkelijk. Ze krijgen te maken met nieuwe regels en beperkingen op het gebied van privacy en databescherming. Overheden en bedrijven die op grote schaal persoonsgegevens verwerken, zijn straks verplicht een onafhankelijke Data Protection Officer aan te stellen die moet controleren of het bedrijf zich inderdaad aan de wet houdt.

 

Tegelijkertijd is de AVG ook een kans: je kunt je er als organisatie in positieve zin mee onderscheiden. Voldoe je aan de regels, dan heb je een streepje voor!

 

Niet alleen een ICT feestje!

Veel organisaties zijn momenteel bezig met een grote inhaalslag op het gebied van datasecurity en privacy. Het afstemmen van bedrijfsprocessen op de nieuwe wet, heeft vaak meer impact dan gedacht. Alle afdelingen die betrokken zijn bij het verzamelen of verwerken van persoonsgegevens moeten hun processen onder de loep nemen en kijken of deze compliant zijn met de nieuwe wet. Daarbij gaat het niet alleen om techniek, maar vooral om de processen en de mensen. 90% van alle datalekken wordt veroorzaakt door menselijke fouten. Medewerkers gaan vaak nog te achteloos om met persoonsgegevens omdat ze zich niet goed genoeg bewust zijn van de risico’s die ze lopen.

 

Hoe AVG compliant is je organisatie?

Volgens de nieuwe wet heeft iedere persoon straks het recht om te informeren wat er met zijn persoonlijke gegevens is gebeurd. Stel dat er een oud medewerker belt, die vraagt wie er allemaal toegang heeft gekregen tot zijn dossier of een klant die gebruik wil maken van het recht vergeten te worden. Kunnen dit soort vragen dan beantwoord worden?

 

Ben je nog niet zover? Het is nog niet te laat! In een paar stappen kan je bedrijf helemaal AVG compliant worden:

 

  1. Inventariseer de bedrijfsprocessen en analyseer welke persoonsgegevens er bewaard en/of verwerkt worden.
  2. Categoriseer de persoonsgegevens volgens de AVG richtlijnen.
  3. Bepaal waar de grootste afwijkingen en risico’s zitten t.o.v. de AVG richtlijnen.
  4. Implementeer stapsgewijs proceswijzigingen of tools om de risico’s af te dekken en te voldoen aan de nieuwe richtlijnen. Stel precies vast welke gegevens er daadwerkelijk nodig zijn en wat ermee moet gebeuren: wie heeft er toegang tot de gegevens, hoe lang worden ze bewaard, wie is er verantwoordelijk voor het beheer etc…
  5. Monitor voortaan zorgvuldig wat er gebeurt met opgeslagen persoonsgegevens en informatieverzoeken.
  6. Finetune de nieuwe processen en rapporteer op afwijkingen.