Bereid je voor op de Europese privacywetgeving met dit AVG stappenplan

//Bereid je voor op de Europese privacywetgeving met dit AVG stappenplan

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze nieuwe Europese privacywetgeving heeft als doel om persoonsgegevens beter te beschermen en deze bescherming in de hele Europese Unie gelijk te trekken. Voor organisaties betekent dit dat zij de bescherming van persoonsgegevens (opnieuw) moeten analyseren en zo nodig aanscherpen. Maar hoe pak je dat aan? Welke stappen neem je op welk moment en hoe ziet dat er in de praktijk uit? In dit artikel beschrijven we de stappen die nodig zijn om op 25 mei 2018 te voldoen aan de nieuwe wetgeving. Dit AVG stappenplan kun je als richtlijn gebruiken om de gang van zaken in je organisatie te bekijken en aan te scherpen. 

Nu starten met het AVG stappenplan

De te nemen stappen om aan de AVG te voldoen zijn globaal gezien voor iedere organisatie gelijk. Dit AVG stappenplan is in onderstaande infographic te zien. Uiteraard verschilt het per organisatie of je aanvullende stappen moet nemen en hoe de verschillende stappen invulling krijgen. Hier komen we later op terug. We zullen eerst de stappen beschrijven die vanaf nu de rode lijn vormen tot mei 2018.

1. Voorbereiden

Ter voorbereiding op het hele proces is het allereerst belangrijk om te weten welke persoonsgegevens je organisatie verwerkt. Dit zijn alle gegevens die direct of indirect iets vertellen over een persoon. Denk hierbij bijvoorbeeld aan telefoonnummers, e-mailadressen of rekeningnummers van klanten, leveranciers of zakenrelaties, maar ook aan bijzondere categorieën van persoonsgegevens, zoals medische gegevens.
Van alle gegevens die je organisatie verwerkt, moet je een aantal dingen helder hebben:

  • Met welk doel verwerk je deze gegevens?
  • Wat voor soort gegevens zijn het?
  • Wat houdt de verwerking van deze gegevens in?
  • Waar worden deze gegevens bewaard?

Met dit overzicht creëer je inzicht in jullie gegevensverwerkingen en bekijk je aan welke wettelijke eisen en verwachtingen van de betrokkenen deze verwerkingen moeten voldoen. Daarna vervolg je het proces.

2. Risicobeoordeling uitvoeren

Als je een overzicht hebt van alle gegevensverwerkingen, bepaal je wat daarmee mis kan gaan. Wat kan er met deze verwerkingen gebeuren waardoor de privacy van betrokkenen in gevaar komt? Voor ieder van deze bedreigingen bepaal je vervolgens hoe waarschijnlijk het is dat het risico daadwerkelijk optreedt (de kans) en hoe ernstig de gevolgen in dat geval zijn (de impact). Op basis van de combinatie van kans en impact kies je weloverwogen welke risico’s je aanpakt en in welke volgorde. Sommige risico’s hebben prioriteit en andere risico’s moet je voorlopig accepteren. Je zoekt hierbij naar de meest optimale privacybescherming die met de beschikbare tijd, middelen en kennis mogelijk is.

AVG Stappenplan - risicobeoordeling maken

Beoordeel risico’s op basis van kans en impact. Onze in-depth e-learning training Risicomanagement kan je daarbij helpen!

Naast het feit dat een risicobeoordeling het mogelijk maakt om de juiste keuzes te maken in het proces, zorgt het ook dat je je makkelijker kunt verantwoorden ten opzichte van de Autoriteit Persoonsgegevens (AP). Doordat je kunt laten zien welke risico’s je organisatie loopt en welke afwegingen je hierbij hebt gemaakt, toon je aan dat je de juiste maatregelen hebt genomen voor de belangrijkste risico’s. Voor de AVG is dit erg belangrijk: je moet namelijk aantoonbaar ‘in control’ zijn. Welke maatregelen je organisatie neemt, volgt uit het beleid dat je opstelt aan de hand van de risicobeoordeling.

3. Beleid opstellen

Zodra de resultaten van de risicobeoordeling duidelijk zijn, ga je beleid opstellen of het huidige beleid aanscherpen. Hierin neem je op hoe je organisatie wil omgaan met persoonsgegevens en de beveiliging daarvan. De risicobeoordeling vormt hierbij de leidraad: je maakt keuzes voor maatregelen die de belangrijkste risico’s aanpakken. Deze keuzes leg je vast in je beleid. Dit geeft richtlijnen aan het personeel van je organisatie over hoe ze moeten handelen om de privacy van de betrokkenen te beschermen en aan de eisen van de AVG te voldoen.

Bij het kiezen van maatregelen en het opstellen of aanscherpen van het beleid is het belangrijk om de richtlijnen van de AVG te volgen. De AVG beschrijft onder andere de verplichtingen van de verwerkingsverantwoordelijke en de verwerker en de rechten van betrokkenen. Alle richtlijnen waar je organisatie volgens de AVG rekening mee moet houden, moeten in het beleid zijn afgedekt.

Als je niet goed weet waar je moet beginnen bij het opstellen van (nieuw) beleid, gebruik dan bestaande raamwerken, zoals de ISO 27001. Deze standaard beschrijft wat je moet doen om voldoende informatiebeveiliging te garanderen. Dit kun je als uitgangspunt gebruiken voor je eigen beleid. Bedenk bijvoorbeeld wat je wilt overnemen uit deze standaard. Bekijk ook waar je eventueel aanpassingen wilt maken aan je huidige beleid op basis van deze standaard. Afhankelijk van het type organisatie en de volwassenheid van risicobeheersing kun je ook een ander raamwerk gebruiken dan de ISO 27001, zoals de NEN 7510 voor de zorg of de CobIT. Gebruik de resultaten uit de risicobeoordeling om kritisch te kijken naar deze bestaande raamwerken. Zo kies je de juiste maatregelen die passen bij je organisatie en de persoonsgegevens die je verwerkt.

4. Beleid uitvoeren

Wanneer het beleid voor je organisatie duidelijk is, start de implementatie hiervan. Daarbij neem je de maatregelen die je hebt beschreven om de belangrijkste risico’s aan te pakken. Deze maatregelen zijn onder te verdelen in juridische, organisatorische en technische maatregelen. Daarnaast is bewustwording een maatregel die in iedere organisatie waardevol is. Het is immers noodzakelijk dat alle medewerkers op de hoogte zijn van het beleid en hiernaar handelen. Om dit te bereiken, moet iedereen zich bewust zijn van de risico’s die je organisatie loopt als het gaat om het verwerken van persoonsgegevens. Door middel van een bewustwordingscampagne leren medewerkers hoe ze om moeten gaan met deze gegevens en de beveiliging hiervan en hoe ze hierover moeten communiceren naar anderen. Dit is een essentieel onderdeel van het proces om te zorgen dat je organisatie het beleid goed handhaaft.

5. Monitoren en reageren

Natuurlijk is het, om boetes te voorkomen, belangrijk om op 25 mei 2018 klaar te zijn voor de AVG. Nog belangrijker echter is dat je de privacy van je klanten, leveranciers, zakenrelaties en personeel altijd wilt garanderen. Hiervoor is het belangrijk dat je werkt met up-to-date procedures en maatregelen. Hiermee merk je inbreuken op de privacy op en kun je hier snel en effectief op reageren.

Om de procedures en maatregelen actueel te houden, is het belangrijk om het beleid, de uitgevoerde maatregelen en de risico’s blijvend te monitoren. Dekt het beleid de huidige situatie? Zijn de maatregelen effectief? Loop je tegen nieuwe risico’s aan? Het gebruik van de PDCA-cyclus (Plan – Do – Check – Act) helpt je om deze monitoring gestructureerd aan te pakken. Bij het doorlopen van de PDCA-cyclus merk je dat je de eerdere stappen moet herhalen om de juiste toevoegingen en aanpassingen te maken.

Tijdlijn en invulling

Als je het beschreven AVG stappenplan doorloopt, help je je organisatie richting een blijvende bescherming van de privacy van betrokkenen én naleving van de AVG. Deze stappen zijn voor alle organisaties nagenoeg gelijk, maar de bijbehorende tijdlijn en de exacte invulling van de stappen verschillen per organisatie. Het lijkt misschien nog lang geen 25 mei 2018, maar realiseer je goed dat de komende acht maanden sneller voorbij zijn dan je nu misschien denkt. Om dan tegenslagen en teleurstelling te voorkomen, is het goed om nu zo snel mogelijk de tijdlijn voor je organisatie uit te stippelen. Hoeveel tijd denk je nodig te hebben voor iedere stap in het proces? Waar verwacht je eventuele tegenslagen? Welke stakeholders moet je in het proces betrekken? De antwoorden op deze vragen helpen je om de tijdlijn zo realistisch mogelijk in te vullen.

Het is ook goed om vooraf te bedenken of dit AVG stappenplan voldoende en passend is voor je organisatie. Mogelijk heb je met externe regelgeving te maken of met grote hoeveelheden bijzondere persoonsgegevens. Dit kan invloed hebben op de exacte invulling van de te nemen stappen, maar ook op de tijdlijn. Bereid het proces dus goed voor om te voorkomen dat je op het laatste moment voor verrassingen komt te staan.

Kun je wel wat hulp gebruiken bij je AVG stappenplan?

In dit artikel hebben we in grote lijnen het AVG stappenplan beschreven dat je kan helpen om de voorbereiding op de AVG gestructureerd aan te pakken. Tijdens de succesvolle workshopmiddag rondom de AVG die we op 1 juni dit jaar organiseerden werd ons nogmaals duidelijk dat veel organisaties hierbij wel wat hulp kunnen gebruiken. Zit je nog met vragen rondom de AVG? We helpen je graag op weg. Stel je vraag hieronder en we nemen z.s.sm. contact met je op.

Organisatie*
Voornaam*
Achternaam*
E-mail*
Telefoon*
Land
Sector
Bericht
Preferred Language
URL
Lead Source
Lead Status
Nieuwe code
Neem de code over
 
2018-11-28T12:00:50+01:0013 september 2017|
consectetur commodo id felis id, venenatis