Nieuws

donderdag 20 april 2017

Stappenplan voor de voorbereiding op de Algemene verordening gegevensbescherming (AVG)

Door: Kees Mastwijk, business area manager Security Management

In eerdere nieuwsbrieven hebben we aandacht besteed aan de nieuwe Europese privacywetgeving die ingaat op 25 mei 2018. De Autoriteit Persoonsgegevens (AP) heeft deze maand een stappenplan gepubliceerd om goed voorbereid te zijn op deze verandering. In dit artikel lichten we dit stappenplan toe en gaan we verder in op het onderwerp om verwerkingen van persoonsgegevens te identificeren en vast te leggen...

 

Het stappenplan van de AP bestaat uit de volgende 10 onderwerpen:

Stap 1 – Bewustwording
De eerste stap naar een succesvolle implementatie is zorgen dat de nieuwe privacyregels bekend worden onder medewerkers, en wat er van hen wordt verwacht.

Stap 2 – Rechten van betrokkenen
De rechten die betrokkenen hebben, worden uitgebreid. Denk hierbij aan het ‘recht op dataportabiliteit’, waarbij de betrokkene de vastgelegde gegevens kan opvragen en indien gewenst, doorgeven aan andere organisaties. Bestaande rechten als recht op inzage en het recht op correctie en verwijdering zijn ook in de nieuwe regelgeving van toepassing.

Stap 3 – Overzicht verwerkingen
Dit betreft het inzichtelijk maken van vastlegging van persoonsgegevens.

Het maken van een overzicht van de verwerkingen binnen de organisatie is een belangrijke stap, en is verplicht vanuit de AVG. Onder het verwerken wordt verstaan, samengevat: ‘Alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen.’

Bij het inzichtelijk maken van een verwerking zijn er een aantal cruciale vragen:

·        welke persoonsgegevens leg ik vast

·        met welk doel leg ik deze persoonsgegevens vast

·        op welke locatie(s) worden de persoonsgegevens opgeslagen

·        zijn er bewerkers bij wie de persoonsgegevens ook zijn opgeslagen, en zo ja, welke

·        wie hebben er toegang tot de persoonsgegevens

Met het beantwoorden van deze vragen kunnen we ook voldoen aan andere eisen uit de AVG. Zo hebben betrokkenen het recht om te weten of hun persoonsgegevens worden vastgelegd, welke dat zijn. Mochten betrokkenen gegevens willen corrigeren of laten verwijderen, dan kunt u in het overzicht op een adequate manier voldoen aan het verzoek.

Stap 4 – Privacy impact assessment (PIA)
Dit assessment is een tool om risico’s te identificeren ten aanzien van de verwerking van persoonsgegevens.

Stap 5 – Privacy by design & privacy by default
Deze begrippen dienen te worden toegepast bij het ontwerpen van nieuwe producten of diensten.

Stap 6 – Functionaris voor de gegevensverwerking
Bepaal of uw organisatie verplicht is deze functionaris aan te stellen.

Stap 7 – Meldplicht datalekken
Vanaf 2016 is de Meldplicht Datalekken in Nederland ingevoerd, in de AVG wordt de meldplicht uitgebreid met de verplichting om alle datalekken te documenteren. U kunt met deze vastlegging aantonen dat u voldoet aan de AVG.

Stap 8 – Bewerkersovereenkomsten
Als andere organisaties in uw opdracht persoonsgegevens verwerken, zorg er dan voor dat de afspraken omtrent de eisen uit de AVG zijn opgenomen in het contract.

Stap 9 – Leidende toezichthouder
In het geval dat uw organisatie meerdere vestigingen heeft in Europa, dan bepaalt u welke toezichthouder het aanspreekpunt is.

Stap 10 – Toestemming
Het verwerken van persoonsgegevens kan gerechtvaardigd zijn op basis van toestemming van betrokkenen. De nieuwe wetgeving stelt strengere eisen aan de manier waarop u toestemming vraagt, krijgt en registreert.

Print

Nieuwsbrief

Blijf op de hoogte van de laatste ontwikkelingen en schrijf je in voor de Vest nieuwsbrief!

Inschrijven nieuwsbrief


 


Security 15 Minutes Live

Met Marc Hullegie

IT Tomorrow

met Marc Hullegie