AVG: 6 onmisbare stappen voor een goede voorbereiding

Voor veel ondernemers is de AVG een ver-van-mijn-bedshow. Toch is niets minder waar. Vrijwel iedere organisatie verwerkt persoonsgegevens en krijgt dus te maken met de AVG.

Een aantal punten die onontbeerlijk zijn voor een goede voorbereiding:

1. Lees je in

Voordat je allerlei maatregelen treft, is het verstandig je goed in te lezen in het onderwerp. Er is enorm veel gezegd en geschreven over de nieuwe privacywetgeving. Doe er je voordeel mee.

Met name de Autoriteit Persoonsgegevens (AP) biedt goede documentatie online aan. Vooral de AVG-regelhulp en het tienstappenplan zijn waardevol en bieden praktische handvatten voor AVG-compliance.

2. Inventariseer welke persoonsgegevens je verwerkt

Met de nodige basiskennis in huis is het inventariseren van je persoonsgegevensverwerking een goede tweede stap. Wanneer je weet welke persoonsgegevens jouw onderneming verwerkt, kun je beter bepalen welke regels van toepassing zijn. Die regels zijn bijvoorbeeld strikter wanneer je bijzondere persoonsgegevens verwerkt. Denk daarbij aan informatie over iemands geaardheid of gezondheid. De registratie van bijvoorbeeld ziekteverzuim is al een verwerking van bijzondere persoonsgegevens.

3. Stel een verwerkingsregister op

Een groot deel van de ondernemingen moet een verwerkingsregister opstellen en bijhouden. Dat is een  overzicht van alle verwerkingen van persoonsgegevens die onder de verantwoordelijkheid van jouw organisatie plaatsvinden. Zo’n register vermeldt het doel van de verwerking, hoe de data zijn verkregen en welke personen in het bedrijf de verwerking uitvoeren. Het opstellen van zo’n lijst vergt meestal grondig onderzoek. Persoonsgegevens kunnen overal in de organisatie terechtkomen. Denk aan hr-lijsten, e-mail of op de financeafdeling.

4. Inventariseer welke organisatorische maatregelen verplicht zijn

De AVG verplicht organisaties tot het nemen van allerlei organisatorische maatregelen. Denk aan het uitvoeren van een DPIA (Data Protection Impact Assessment) en het aanstellen van een functionaris voor de gegevensbescherming (FG). Veel van die maatregelen, inclusief de zojuist genoemde, zijn alleen verplicht onder bepaalde omstandigheden. Ga na welke van deze maatregelen voor jouw onderneming verplicht zijn. Dat is soms lastig, want de AP omschrijft niet altijd eenduidige voorwaarden.

5. Voer een nulmeting uit

De AVG is geen ‘ondernemertje pesten’. Uiteindelijk gaat het om de veiligheid en beschikbaarheid van de data van jouw klanten, medewerkers en businesspartners. Dat is niet alleen vanuit juridisch oogpunt wenselijk, maar ook voor het klantvertrouwen en het bedrijfsimago.

Een goede manier om te inventariseren waar jouw organisatie nu staat als het gaat om de veiligheid en beschikbaarheid van persoonsgegevens is het uitvoeren van een nulmeting. Een ‘Privacy Quickscan’ kan hierin veel duidelijkheid verschaffen. Bij deze scan wordt geïnventariseerd welke aspecten van je bedrijfsvoering wel en niet voldoen aan de privacywetgeving. Ook vloeit hier een concreet actieplan uit voort. Vaak blijken de benodigde AVG-maatregelen best mee te vallen.

6. Neem technische en organisatorische maatregelen

Een securityrisicoanalyse verschaft inzicht in de risico’s die jouw organisatie loopt, en welke maatregelen die risico’s kunnen beperken. Technische maatregelen zijn bijvoorbeeld de invoering van een deugdelijk patchbeleid, de implementatie van encryptievoorzieningen of het toepassen van netwerksegmentatie. Bij organisatorische maatregelen moet je denken aan het sluiten van verwerkersovereenkomsten of het aanstellen van een FG.

Een goed privacyverhaal

Van stilzitten wordt jouw organisatie niet compliant. Met een gestructureerde aanpak sta je op 25 mei 2018 steviger in je schoenen. Dat is belangrijk, want volgens de AVG-regelhulp van de AP kun je als organisatie vanaf dat moment niet zonder een ‘goed privacyverhaal’.