Wie neemt de leiding over de AVG-naleving voor jouw organisatie?

Als jouw organisatie niet in paniek raakt over de algemene verordening gegevensbescherming (AVG) – internationaal bekend als de General Data Protection Regulation (GDPR) – mag je jezelf ofwel gelukkig prijzen, ofwel voorbereid beschouwen. Hiermee willen we niet zeggen dat organisaties constant controles moeten uitoefenen met behulp van gegevensbeschermingsdeskundigen om te laten zien dat ze de regels van de AVG naleven. Aan de andere kant, als jouw organisatie zelfs maar een paar controles uitoefent, ben je al een heel wat verder dan de meeste organisaties.

Het meest voorkomende scenario is dat organisaties vrij laat beginnen met het bekijken van de AVG-regels en daardoor in korte tijd zo veel mogelijk regels proberen na te leven vóór 25 mei 2018. Is het echter effectief om in zo’n korte periode met stroomversnelling de nodige veranderingen door te voeren? Is er iemand binnen je organisatie toegewezen die het nalevingsproject overziet en weet welke stappen genomen moeten worden? Velen nemen aan dat dit de taak is van de functionaris voor gegevensbescherming (FG), een functie die veel genoemd en aanbevolen wordt door de AVG.

Een FG is echter niet de aangewezen persoon om beslissingen te maken, en is bovendien niet verantwoordelijk voor het waarborgen van de naleving. De FG houdt daarentegen een organisatie in de gaten en trekt aan de bel zodra er gegevensbeschermingsregels, zoals die van de AVG, niet nageleefd worden. Vervolgens geeft de FG advies over hoe die regels wél gevolgd zouden worden. Het is echter niet zijn of haar taak om de nodige nalevingsmaatregelen te implementeren.

Maar wie is er nu eigenlijk verantwoordelijk voor de naleving? Uiteindelijk is de bestuursraad van een organisatie verantwoordelijk, maar zij zouden bepaalde verantwoordelijkheden hiervoor intern kunnen delegeren aan leidinggevenden. Als de organisatie zich voornamelijk zorgen maakt over een mogelijke rechtzaak, dan is het aannemelijk dat zij de grootste verantwoordelijkheid aan hun juridische afdeling zullen afstaan. Of misschien zijn ze het meest bezorgd over hoe ze contact kunnen blijven houden met klanten, in welk geval ze meer verantwoordelijkheid aan hun marketingteam zouden kunnen geven.

Uiteindelijk is het zo dat de verantwoordelijkheid voor volledige naleving van de AVG niet in de handen van één persoon ligt, maar dat een team met een diversiteit aan verantwoordelijken hiervoor hoort samen te werken. Dit zorgt ervoor dat de Verordening efficiënt wordt aangepakt en dat iedereen zich bewust is van wat al gedaan is en welke stappen nog genomen moeten worden.

Last-minute nalevingsmaatregelen

Zodra de verantwoordelijkheidstaken voor de AVG-naleving verdeeld zijn, is het belangrijk voor je organisatie om gezamenlijk de focus te leggen op de laatste paar dagen voordat de AVG in werking treedt. Zoals aangegeven moeten de voorbereidingen en maatregelen op 25 mei niet stoppen, maar het is wel belangrijk om vanaf die dag aan de toezichthoudende autoriteit te kunnen laten zien dat je toegewijd bent aan de naleving.

Hier zijn vier last-minute taken die je zo snel mogelijk moet voltooien:

1. Beoordeel de rechtmatigheid van gegevensverwerking. Er zijn zes wettige gronden voor het verwerken van persoonsgegevens. Tijdens de verwerking is het belangrijk dat je motiveert, controleert en documenteert welke wetsgrond van toepassing is voor iedere verwerkingsactiviteit. De meeste organisaties hebben voorheen vaak vertrouwd op toestemming, maar de AVG erkent de problemen met toestemming en ontmoedigt daarom het gebruik ervan door de voorwaarden voor wettige toestemming moeilijker te maken.

2. Controleer je privacybeleid. Je privacybeleid moet duidelijk aangeven welke persoonlijke gegevens je verzamelt, waarvoor je ze gebruikt, hoe lang je ze bewaart en wat de rechten zijn van de betrokkenen.

3. Creëer een proces voor toegangsverzoeken van betrokkenen. Organisaties moeten toegangsverzoeken van betrokkenen tegemoet kunnen komen; in andere woorden, betrokkenen een kopie van hun persoonsgegevens aan kunnen bieden. Na ontvangst van deze informatie kunnen betrokkenen enkele andere rechten uitoefenen, zoals het recht op vergetelheid of het recht op beperking van de verwerking. Je moet binnen één maand aan deze verzoeken voldoen.

4. Maak een register voor inbreuken en incidenten. Niet alle gegevensinbreuken moeten aan je toezichthoudende autoriteit gemeld worden. Het moet echter wel gemeld worden zodra deze een risico vormen voor de rechten en vrijheden van betrokkenen. Het is dan ook belangrijk dat je organisatie extra waakzaam is tijdens het beoordelen van datalekkages. Je moet in staat zijn om de reikwijdte van een inbreuk in te schatten en te bepalen of deze gemeld moet worden.

Hulp bij het naleven van de AVG

De grootste uitdaging voor het nastreven van de AVG-regels voor je organisatie is het documenteren van de naleving. We naderen de einddatum van 25 mei 2018, waarna de regels volledig nageleefd moeten worden. Je kunt het proces echter aanzienlijk versnellen door voorbeelddocumentatie te gebruiken, zoals te vinden is in onze GDPR Documentation Toolkit.

Deze toolkit bestaat uit handige templates, beleidsadvies en deskundige begeleiding. Het zal je helpen om:

  • Risico’s voor persoonsgegevens te identificeren en de nodige controles uit te voeren om deze problemen op te lossen;
  • De documentatie voor je organisatie snel en gemakkelijk uit te voeren; en
  • De AVG-documentatie te integreren in je informatiebeveiligingsbeheersysteem (ISMS).

Probeer de toolkit hier gratis uit >>

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.