De juiste aandacht voor uw informatiebeveiliging™

Klaar voor de AVG

Algemene Verordening Gegevensbescherming

Klaar voor de AVG

AVG GDPR Compliance AuditBedrijven, overheden en organisaties moeten zich steeds actiever opstellen als het gaat om de bescherming van persoonsgegevens die zij opslaan en gebruiken. Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming van kracht. Deze EU-verordening komt in de plaats van de Wet bescherming persoonsgegevens (Wbp). De AVG stelt dat bedrijven, organisaties en overheden de persoonsgegevens die zij opslaan en gebruiken op een actieve manier moeten beveiligen.

De regels van de AVG zijn niet vrijblijvend. Bedrijven en organisaties moeten compliant zijn. Wat houdt dat in? Waar moet je als bedrijf op letten? Wat is er veranderd ten opzichte van hoe het nu geregeld is in de Wbp? Zeker is dat organisaties ermee aan de slag moeten – de AVG heeft een ruimer bereik dan de Wbp.

Voor het gemak staat daarom hieronder het officiële stappenplan om te voldoen aan de regels van de AVG. Want compliancy is geen keuze, compliancy is een must. Bij SECWATCH helpen we u graag nog wat verder. Daarom geven we bij dit stappenplan nog wat extra tips. Lees dus vooral verder!

Vrijblijvende intake voor uw AVG / GDPR compiancy-traject?


Stappenplan naar AVG (GDPR) compliancy


INVENTARISATIE

  1. Aanleggen van een register van verwerkingen (WP par 2.1.1, blad 9 / Artikel 30 AVG)
    Leg een register aan van alle verwerkingen van persoonsgegevens. Dit register bevat per verwerking het doel en de aard van de verwerking, de getroffen beveiligingsmaatregelen en wie verantwoordelijk is
  2. Categorisatie persoonsgegevens (WP par 2.1.1, blad 9 / Artikel 9 AVG)
    Geef aan wat de gevoeligheid van de verwerkte persoonsgegevens is en welke risico’s hiermee gepaard gaan voor de betrokkenen.

PROCES

  1. Aanstellen Privacy Officer / Functionaris voor de gegevensbescherming (WP par 1.3, blad 6 / artikel 37 AVG)
    Stel een functionaris voor de gegevensbescherming aan, als de criteria daartoe bereikt zijn.
  2. Documenteren beveiligingsmaatregelen (WP par 2.2.2, blad 10 / Artikel 30, 32 AVG)
    Zorg voor een beschrijving van de technische en organisatorische maatregelen zoals die zijn gerealiseerd.
  3. Privacy Impact Assessments uitvoeren (WP par 2.2, blad 8 / Artikel 35 AVG)
    Toets periodiek of getroffen maatregelen nog in lijn zijn met de AVG en met alle privacyprincipes en -risico’s. Check ook of de doelstelling van de verwerking behaald kan worden via andere wegen of met minder persoonsgegevens. Voer bij gewijzigde omstandigheden of wijzigingen in systemen een Privacy Impact Assessment uit.
  4. Monitoring, periodieke toetsing en evaluatie (WP par 2.1.1, blad 9 / artikel 30, 32 AVG)
    Implementeer technische middelen en organisatorische procedures die waarborgen dat de beveiliging van systemen en de daarmee verwerkte persoonsgegevens permanent gegarandeerd worden. Richt een managementcyclus in waarbij zo nodig optimalisaties worden doorgevoerd.
  5. Privacy by Design (WP par 2.2.8, blad 15 / Artikel 35 AVG)
    Zorg ervoor dat, bij invoering van nieuwe verwerkingen van persoonsgegevens of bij wijzigingen daarvan, vanaf het begin ontwerpcriteria worden gehanteerd waarmee invulling kan worden gegeven aan het principe ‘privacy by design’. Systemen moeten voordat deze in gebruik worden genomen volgens de laatste stand van de techniek zijn beveiligd.
  6. Certificering en rapportage (WP par 2.1.1, blad 9 en 10 / artikel 42 AVG)
    Maak verwerkingen en gerealiseerde beschermingsmaatregelen transparant. Overweeg om stakeholders periodiek te informeren over de gerealiseerde beveiliging van persoonsgegevens en de Privacy Impact Assessment rapportages.
  7. Beveiligingsincidenten (WP par 3.9, blad 21 / AVG artikel 33, 34)
    Implementeer maatregelen om beveiligingsincidenten te detecteren en de gevolgen daarvan te beperken. Zorg voor documentatie van incidenten.
  8. Melden datalek bij Autoriteit Persoonsgegevens (WP par 3.9, blad 21 / AVG artikel 34)
    Richt een procedure meldplicht datalekken in waarmee datalekken worden gedetecteerd en binnen 72 uur aan de Autoriteit Persoonsgegevens worden gemeld. Zorg voor documentatie van datalekken.
  9. Melden datalek bij betrokkenen (WP par 3.9, blad 21 / AVG artikel 34)
    Implementeer een procedure waarmee betrokkenen onverwijld geïnformeerd kunnen worden over het gesignaleerde datalek, alsdat datalek nadelige gevolgen voor hen heeft.

Een hele waslijst aan taken. Sommige daarvan zijn misschien al (grotendeels) geïmplementeerd in uw bedrijf, sommige zijn misschien helemaal nieuw.

Een gratis tip geven wij u direct: leg de laatste drie stappen (g, h en i) rondom de meldplicht datalekken vast in een draaiboek. Dat vergemakkelijkt het proces niet alleen, het vergroot ook het inzicht en het overzicht over de verplichte deeltaken.

Wilt u honderd procent zeker zijn dat u straks voldoet aan de AVG? Dat u gegarandeerd compliant bent? Dat uw medewerkers weten waar ze aan toe zijn en wat ze wel en niet mogen doen? Onze ervaren security en privacy managers helpen u graag bij alle facetten, van inventarisatie tot implementatie en procesbewaking.


AVG algemene verordening gegevensbeschermingMag ik u helpen?

Hallo, ik ben Marc Ligthart. Als Certified Information Privacy Manager (CIPM) vertel ik u op een toegankelijke manier alles over de te nemen maatregelen bij de AVG. Neem contact met mij op voor een eerste vrijblijvende intake, om te zien hoe onze diensten en oplossingen bij uw organisatie kunnen passen.

Vrijblijvende intake voor uw AVG / GDPR compiancy-traject?

“Door het SECWATCH-klantenrapport kan men nu aan de klanten laten zien dat het bedrijf vertrouwelijk en integer met de klantgegevens omgaat.”

- Directeur aanbieder Cloud-dienst met meer dan 250 klanten