In kaart brengen van gegevensverwerkingen persoonsgegevens.

Wat staat u te wachten met de wet GDPR/AVG ?

De Europese Commissie en het Europees Parlement hebben de nieuwe wet “Algemene Verordening Gegevensbescherming” (AVG) aangenomen. Deze vervangt de Wet Bescherming Persoonsgegevens (WBP), omdat de AVG beter aansluit op de continue digitale veranderingen en persoonsgegevens beter beschermt. In het Engels wordt de wet de “General Data Protection Regulation” (GDPR) genoemd. De AVG is formeel in werking getreden in 2016 en tot 25 mei 2018 geldt een overgangsregeling. Daarna is de wet verbindend van kracht en wordt deze actief gehandhaafd. Wat betekent deze AVG voor uw organisatie en wat is de meest effectieve aanpak om hieraan te voldoen?

Welke veranderingen brengt de AVG teweeg?

Er zullen grote geldboetes worden opgelegd wanneer medewerkers die persoonsgegevens verwerken regels van gegevensbescherming overtreden. Deze kunnen oplopen tot twintig miljoen euro of vier procent van uw (wereldwijde) organisatorische jaaromzet. Het toezicht op de regels zal komende tijd worden geïntensiveerd door de Autoriteit Persoonsgegevens (AP);

Onder de vorige wet moesten persoonsverwerkingen worden aangemeld bij de Autoriteit Persoonsgegevens. Onder de AVG hoeft dat niet meer: elke organisatie moet zelf alle verwerkingen van persoonsgegevens bijhouden in een overzicht.

Wat zijn de belangrijkste stappen om uw organisatie voor te bereiden op mei 2018?

1. Breng in kaart welke persoonsgegevens u bijhoudt en op welke manier u dit als organisatie doet. Stel een digitaal/elektronisch register van verwerkingsactiviteiten op waarin wordt weergegeven welk type gegevens op welke manier worden verwerkt.

2. Maak overzichtelijk in welke applicaties deze persoonsgegevens worden verwerkt. Hierbij is het van belang dat alle applicaties die worden gebruikt in kaart worden gebracht en dat per applicatie wordt bepaald wat de relevantie ervan is voor de organisatie.

3. Breng in kaart hoe gegevensstromen, die persoonsgegevens bevatten, lopen tussen applicaties. Bepaal ook welke van deze gegevensstromen van buiten de organisatie naar binnen komen en van binnen naar buiten lopen.

4. Zorg voor een zogenoemde datalek-procedure. Het is noodzakelijk om te weten welke stappen er gezet moeten worden wanneer u vermoedt of weet dat er sprake is van een verstoring die kan leiden tot een datalek. Het melden van een datalek bij de Autoriteit Persoonsgegevens is verplicht.

5. Benoem een Functionaris Gegevensbescherming. U bent in veel gevallen verplicht een Functionaris Gegevensbeschermer, (FG) ook wel Data Protection Officer (DPO) genoemd, te benoemen. Deze verplichting geldt wanneer uw organisatie kernactiviteiten uitvoert waarbij persoonsgegevens (denk bijvoorbeeld aan gezondheidsgegevens) worden verwerkt.

6. Stel een overzicht op in welke u dataverwerkingen bijhoudt. Wanneer uw organisatie privacygevoelige informatie verwerkt, bent u verplicht een overzicht op te stellen waarin u deze dataverwerkingen bijhoudt. Ook als u verwerkingen uitbesteedt. In dat geval is een verwerkingsovereenkomst die voldoet aan de wettelijke eisen nodig. In het overzicht geeft u onder meer aan wat het doel, het uitgangspunt en de getroffen veiligheidsmaatregelen zijn. U heeft een documentatieplicht en toont aan dat u de correcte organisatorische en technische maatregelen neemt en heeft genomen om aan de Europese wetgeving te voldoen;

7. Modelleer relaties & creëer bewustwording. Wanneer u de relaties tussen verantwoordelijken, de verwerkers en het proces van persoonsgegevens binnen uw organisatie in kaart brengt, krijgt u inzicht in de rechten van betrokkenen, de verwerkingen van persoonsgegevens en gaat zien welke gegevens zich waar bevinden. Daarbij creëert u bewustwording omdat sleutelfiguren weten welke impact de AVG op uw huidige processen heeft en welke aanpassingen er moeten worden gemaakt.

ValueBlue en Lumen Group kunnen u ondersteunen om: grip te krijgen op het IT-landschap en de manier waarop dit de bedrijfsvoering ondersteunt. Wanneer uw organisatie veel persoonsdata verwerkt en u een functie bekleed op managementniveau, wisselen we vrijblijvend van gedachten. Het betreffende gesprek vormt uw vertrekpunt voor een optimale voorbereiding op de AVG. Neem gerust contact met ons op om een afspraak te maken.

Lumen Group

Lumen Group is gespecialiseerd in Privacy en Data Protection diensten. Lumen Group biedt een gratis quick scan GDPR/AVG waardoor u ziet waar u nu staat in relatie tot de eisen die door de AVG worden gesteld. Het wordt dankzij Lumen duidelijk welke stappen er nog gezet moeten worden. Ook kunnen (interim) Data Protection Officers u begeleiden om de benodigde stappen te doorlopen.

ValueBlue

ValueBlue heeft BlueDolphin ontwikkeld. BlueDolphin wordt gekoppeld aan de verschillende systemen in uw organisatie die data bevatten over uw IT- landschap en over de bedrijfsprocessen. Vervolgens vormt het hier, grotendeels geautomatiseerd, een samenhangend beeld van. BlueDolphin zorgt in een aantal dagen voor een betrouwbaar beeld van uw IT-landschap. Het zijn de krachtige visualisatie- en rapportagetechnieken die ervoor zorgen dat u en uw medewerkers vanuit elk perspectief de werkelijkheid kunnen opvragen en ‘downdrillen’. Vervolgens kan ValueBlue deze visualisaties aanvullen met de benodigde informatie over data, privacy en de manier waarop deze bedrijfsprocessen ondersteunen. Zo houdt u het stuur stevig in handen.

In kaart brengen gegevensverwerkingen persoonsgegevens (art. 30 AVG)

LUMEN GROUP

LinkedIn

CONTACT