De AVG: Het is nog niet te laat om aan de regels te voldoen

Als je onlangs ontdekt hebt dat je organisatie zich moet houden aan de algemene verordening gegevensbescherming (AVG) – internationaal bekend als de General Data Protection Regulation (GDPR) – en de boetes die niet-naleving van de regels met zich meebrengt, raak je misschien lichtelijk in paniek. Het is echter niet te laat.

Ten eerste zijn de geruchten over de wens van toezichthouders om organisaties te disciplineren sterk overdreven. Het is ook niet zo dat je na de nalevingsdeadline van 25 mei 2018 niet kunt doorgaan met het treffen van maatregelen. Zolang je aan kunt tonen dat je toegewijd bent aan het naleven van de AVG en ten minste begonnen bent met de nodige stappen, zal je toezichthouder vrijwel zeker milder zijn in zijn beoordeling.

Feit is echter dat je zo snel mogelijk moet handelen. In deze blog behandelen we vier essentiële stappen die organisaties idealiter genomen moeten hebben voordat de Verordening van kracht wordt.

1. Maak een datakaart aan

Het begrijpen van de wat, waar, waarom en wanneer van het verzamelen en verwerken van gegevens is essentieel voor naleving van de AVG. Voordat je maatregelen kan nemen om informatie van natuurlijke personen te beschermen, moet je weten welke gegevens worden verzameld, waar en waarom deze worden opgeslagen en verwerkt, en wanneer deze moeten worden verwijderd.

Organisaties zijn vaak niet volledig op de hoogte van deze informatie. Een datakaart adresseert dit; het geeft feitelijk een overzicht van de manier waarop gegevens van de ene locatie naar de andere worden verplaatst.

De belangrijkste aspecten van een datakaart zijn:

  • De informatie zelf (namen, kaartgegevens, biometrie, etc.);
  • De wijze(n) waarop informatie wordt opgeslagen (papieren versie, digitaal, etc.);
  • Overdrachtsmethoden (de manier waarop er gecommuniceerd wordt – bijvoorbeeld per e-mail of telefoon – en of deze intern of extern wordt overgedragen); en
  • Locaties (kantoren, via de Cloud, derden, etc.).

2. Verander de manier waarop je gegevens verzamelt

De AVG stelt dat organisaties alleen gegevens mogen verzamelen voor een specifiek doel en alleen de gegevens mogen bewaren totdat dat doel bereikt is. Voor veel organisaties betekent dit dat ze hun standaardprocedure voor het verzamelen van zoveel mogelijk gegevens moeten schrappen, en dit vanaf nu enkel gegevens verzamelen en verwerken wanneer het noodzakelijk is.

Organisaties moeten vanaf nu individuen vertellen wanneer hun gegevens verzameld worden en waarvoor ze gebruikt worden. De AVG zet zes wetsregels uiteen waar organisaties zich aan moeten houden om verwerking te rechtvaardigen. De meeste organisaties gebruiken momenteel toestemming, maar de AVG ontmoedigt dit door de vereisten voor wettige toestemming aan te scherpen. Toestemming moet daarom alleen worden gevraagd als geen van de andere geoorloofde gronden van toepassing is.

3. Voer adequate technische controles uit

De AVG adviseert organisaties om alle persoonsgegevens te pseudonimiseren en/of te coderen. Dit zal niet voorkomen dat cybercriminelen toegang krijgen tot de informatie, maar het zal de informatie veel nuttelozer voor criminele doeleinden maken. Volgens de Breach Level Index van Gemalto bestond slechts 4% van de gegevensinbreuken sinds 2013 uit gecodeerde gegevens.

Pseudonimisering maskeert gegevens door identificerende informatie te vervangen door kunstmatige identificatiemiddelen. Hoewel het centraal staat in het beschermen van gegevens (het wordt maar liefst vijftien keer genoemd in de AVG) en kan helpen om de privacy en veiligheid van persoonsgegevens te beschermen, pseudonomisering heeft ook zijn beperkingen.

Om deze reden kaart de AVG ook codering aan. Pseudonomisering en codering kunnen gelijktijdig of afzonderlijk gebruikt worden.

4. Train je werknemers

Iedereen binnen je organisatie die met persoonsgegevens omgaat moet zich bewust zijn van zijn verplichtingen. Heeft heeft tenslotte weinig zin om een streng beleid en procedures voor gegevensbescherming na te streven als je personeel ze niet kent of volgt.

Het kan echter lastig zijn om een allesomvattend programma samen te stellen wat je werknemers onder de knie moeten hebben. Daarom gebruiken veel organisaties bestaande cursussen, waaronder onze GDPR Staff Awareness E-learning Course (op dit moment enkel in het Engels).

Deze cursus biedt werknemers een introductie tot de essentiële onderdelen van de AVG, waaronder:

  • De belangrijkste gegevensbeschermingsfuncties;
  • Het bereik van de AVG;
  • De zes principes voor het verzamelen en verwerken van persoonsgegevens; en
  • Hoe te voldoen aan de AVG


 

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.