Actueel

08 Januari 2018

5 tips in het jaar van de AVG

Het nieuwe jaar is alweer een week oud, wat traditioneel betekent dat er inmiddels een serieuze hoeveelheid goede voornemens vroegtijdig uit het raam is verdwenen…

Als daar ook jouw brave bedoelingen bij horen, voel je dan niet (te) schuldig, want het is een terugkerend fenomeen. Onderzoeken en enquêtes wijzen uit: zo’n 5 van de 6 voornemens halen de eindstreep niet. Hoe dat komt? De korte uitleg is dat als we al die fijne intenties niet aan een stappenplan ophangen, het daarom in verreweg de meeste gevallen bij precies dat blijft: intenties.

Wie zich in 2018, het jaar van de Algemene verordening gegevensbescherming (AVG) heeft voorgenomen om de zaken rond privacy, de verwerking van persoonsgegevens en informatieveiligheid goed op orde te hebben, kan daar dus het beste een concreet plan voor maken.

Hierbij alvast 5 niet te missen stappen. Maak het praktisch!

Stap 1: Awareness over de AVG

We hebben het hier niet over informatiebewustzijn in het algemeen, want we weten dat informatieveiligheid begint bij awareness. Awareness in deze context is het bewustzijn van de serieuze veranderingen die de AVG in mei met zich meebrengt.

Verdiep je daarom in de nieuwe regels, maak werk van de nieuwe vereisten en zorg ervoor dat de juiste mensen in de organisatie – in ieder geval het management en de beleidsmakers – op de hoogte zijn van de nieuwe privacywetgeving. De invloed van de overstap op de AVG moet immers beoordeeld worden om de juiste maatregelen te kunnen nemen. Afhankelijk van de organisatie en het businessmodel kan dat een aardige inspanning vereisen, dus stel het niet uit!

Stap 2: Huishoudboekje op orde

Stap 2 is een hele praktische: de administratie. Wie zich verdiept heeft in de AVG, weet al dat ondernemingen die persoonsgegevens verwerken een documentatieplicht krijgen. En dat is eigenlijk heel pretttig. Want wie het nieuwe jaar start met een plan van aanpak, heeft een veel grotere kans van slagen. De juiste documentatie helpt je niet alleen op weg, het is ook nog eens verplicht.

Vanuit de documentatieplicht moet je aan kunnen tonen dat er volgens de nieuwe regels gewerkt wordt. Dat wil zeggen dat er in kaart gebracht moet worden welke persoonsgegevens er verwerkt worden, met welk doel, waar ze vandaan komen en met wie ze worden gedeeld. Dat geldt ook voor andere bedrijven die jouw gegevens verwerken, zoals een salarisadministratiebedrijf of clouddienst.

Stap 3: Benut de Data Protection Impact Assessment (DPIA) tool

Een tweede administratieve tool om de regels van de AVG te volgen, is de Data Protection Impact Assessment (DPIA), een preventief instrument om risico’s in kaart te brengen. Opnieuw niet alleen heel praktisch, maar een verplicht onderdeel van de nieuwe wet om privacyrisico’s van gegevensverwerking vooraf in kaart te brengen en waar nodig te handelen om die risico’s te verkleinen. Het is daarom slim om alvast een plan van aanpak op te stellen voor bestaande processen met een hoog risico. Lees meer over de DPIA op de website van de Autoriteit Persoonsgegevens.

Stap 4: Een FG of Functionaris voor de Gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dat geldt ten eerste voor alle overheidsinstanties en publieke organisaties. Naast de rijksoverheid, provincies en gemeenten zijn dat ook bijvoorbeeld zorg- en onderwijsinstellingen.

Daarnaast zijn organisaties die op grote schaal mensen volgen of profileren verplicht om een FG aan te stellen. Denk aan verzekeraars en beveiligingsbedrijven.

Tot slot maakt verwerking van bijzondere persoonsgegevens het organisaties verplicht om een functionaris gegevensbescherming te benoemen. Dat zijn bijvoorbeeld gegevens over gezondheid, ras, geloofsovertuiging of strafrechtelijk verleden. Bepaal daarom nu alvast of dit van toepassing is, en stel de werving en selectie van de functionaris niet te lang uit. Je leest er hier meer over.

Stap 5: Vergeet voornemens, ga voor gewoontes

De beste tip om je goede voornemens niet in de koude januarimaand te zien sneuvelen? Ga voor gebruiken, gewoontes en rituelen, dagelijks terugkerende praktijken die ‘goed gedrag’ in stand houden. Als je ‘s ochtends je huis verlaat, zet je de lichten uit, de verwarming laag en zorg je dat ramen en deuren op slot zijn. Dat is óók gedoe, maar niemand ervaart dat zo. Dat zouden we ook in de omgang met privacy, persoonsgegevens en informatieveiligheid normaal moeten vinden. Want álle gebruiken kosten een beetje inspanning – maar wel inspanning die het waard is.

Wil je weten hoe het met het informatiebewustzijn in jouw organisatie gesteld is? De security awareness training van Awareways start met een meting die concreet inzicht geeft in het gedrag, de sociale en de culturele aspecten die van invloed zijn op een informatie- en beveiligingsbewuste organisatie.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.