Ga terug

AVG / GDPR

25 mei 2018 mag iedereen vergeten worden

Zoals we inmiddels weten, door de vele posts op social media en andere communicatiekanalen, moeten alle organisaties binnen Europa vanaf 25 mei zich houden aan de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG / GDPR). En dat schijnt nog een opgave te zijn. Wat doet u als iemand vraagt om vergeten te worden?

 
GGGGGGDDDDDPPPRRRRRRRR…
Er is al veel over de nieuwe privacywetgeving AVG / GDPR geschreven en u bent waarschijnlijk helemaal klaar voor 25 mei als de wet van kracht gaat. Of kunnen we u nog wat tips meegeven? Hier een handig lijstje.

 
  1. Zorg dat iedereen binnen uw organisatie bekend is met de AVG / GDPR. Geef ze een korte training.
  2. Beoordeel voor uw organisatie of u een ‘verwerkingenregister’ moet aanleggen. In het register moet staan wat voor persoonsgegevens u verwerkt, waarom, wat de bron is, welke partijen betrokken zijn, of de gegevens buiten de EU terechtkomen en wat de bewaartermijn is.
  3. Controleer of uw organisatie verplicht is een Data Protection Officer aan te stellen. Bijvoorbeeld als u bijzondere persoonsgegevens op grote schaal verwerkt of als de verwerking van persoonsgegevens een hoog risico met zich meebrengt. Denk hierbij aan medische gegevens, ras, geloofsovertuiging, seksuele voorkeur, etc.
  4. Implementeer standaard binnen uw organisatie ‘privacy by design’, door bijvoorbeeld gegevens zo veel mogelijk te anonimiseren en ‘privacy by default’, door bijvoorbeeld een instelling voor het delen van gegevens met derden niet standaard ‘aan’ te zetten.
  5. Sluit verwerkersovereenkomsten af. Bijvoorbeeld als u een externe partij inschakelt die in opdracht van uw organisatie persoonsgegevens verwerkt.
  6. Stel procedures op om de rechten van betrokkenen uit te kunnen voeren én neem technische maatregelen. Bijvoorbeeld als iemand vraagt om vergeten te worden.
  7. Stel een ‘Privacy Impact Assessment’ vast en breng in kaart wanneer u deze moet uitvoeren. Met een ‘PIA’ beoordeelt u het effect van een specifieke verwerking van persoonsgegevens op de privacy van de betrokkenen.
  8. Breng in kaart waar binnen uw organisatie toestemming wordt gevraagd voor de verwerking van persoonsgegevens. Voor verwerking van persoonsgegevens is soms toestemming nodig. Onder de AVG / GDPR moet u bewijzen dat, wanneer, hoe en waarvoor toestemming is verkregen.
  9. Stel binnen uw organisatie een databeveiligingsbeleid op en blijf dit beleid verbeteren. Denk hierbij aan de volgende punten: Toegangscontrole met gebruik van sterke wachtwoorden. Logging van handelingen rondom de persoonsgegevens. Fysieke maatregelen voor toegangsbeveiliging. Encryptie van bestanden met persoonsgegevens. Steekproefsgewijze controle op naleving van het beleid. Beheer van kopieën en back-ups. Beveiliging van netwerkverbindingen.
  10. Stel een protocol ‘meldplicht datalekken’ op. U moet een register bijhouden van alle datalekken die plaatsvinden. Maak tevens een crisiscommunicatieplan.


 
Websites en databases
Heeft u als organisatie een website die persoonsgegevens verwerkt en dit in een database opslaat dan is dit een eerste aandachtspunt dat u voor 25 mei goed voor elkaar moet hebben. Een datalek via een website komt het meest voor omdat het vaak heel eenvoudig is voor professionele hackers. Echter staat het niet bovenaan in de lijstjes als meest voorkomend omdat het al gauw imago schade voor een organisatie oplevert. Maar met een goed protocol kunt u de schade beperken of zelfs omzetten in iets positiefs.

 
Nieuwe kansen
Als ‘privacy’ een vast onderdeel van uw innovatie strategie wordt dan biedt dat kansen voor de toekomst. Een organisatie dat eerlijk en transparant met haar prospects en klanten communiceert vandaag de dag wint sneller vertrouwen en krijgt zo een grotere ‘gunfactor’. Vooral via het internet voelen mensen/consumenten al gauw dat hun privacy in het geding is. Cookies, pixels, remarketing van advertenties, behaviour targeting, monitoren van social media gedrag, etc., allemaal technieken om consumenten te bespieden en te verleiden. Dus interpreteer de nieuwe AVG / GDPR niet als een lastenverzwaring voor uw organisatie maar als een extra U.S.P. (Unique Selling Point) richting uw prospects en klanten.

 
Advies en ondersteuning
Wilt u het zekere voor het onzekere of zit u midden in de ‘digitale transformatie’ van uw organisatie waar u de klant 100% centraal stelt dan kan Aumatics en zusterbedrijf DPO Consultancy zeker iets voor u betekenen. Aumatics op het gebied van ICT diensten, IT-security en digitale transformatie en DPO Consultancy op het gebied van ‘privacy’ en Data Protection Officers.

Onlangs heeft Aumatics een nieuwe dienst op het gebied van IT-security gelanceerd gebaseerd op de software van Dtex Systems. Uit veel onderzoeken blijkt namelijk dat de meeste datalekken worden veroorzaakt door onwetendheid of onzorgvuldigheid van medewerkers binnen een organisatie. Hier heeft Aumatics nu een unieke oplossing voor.