zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

AVG: zo maakt u een eindsprint naar compliance

14 maart 2018 - De AVG-deadline nadert. Elke organisatie die persoonsgegevens van EU-burgers verwerkt, moet vanaf 25 mei 2018 aan strengere regels doen.

"Maar dat is een utopie," stelt Marc French, Chief Trust Officer bij e-mailbeveiligingsspecialist Mimecast. Volgens French is slechts een handvol bedrijven al volledig klaar voor de General Data Protection Regulation (GDPR), zoals de wetgeving in het Engels heet. Hoe zet u een eindsprint in?


"Bijna iedereen die ik spreek over de AVG weet zeker dat ze de deadline niet gaan halen," zegt French, die bij Mimecast de rol van functionaris voor de gegevensbescherming (FG) combineert met zijn taken als senior vicepresident. "Veel organisaties lopen enorm ver achter, en privacytalent is schaars." Toch is er volgens hem geen reden voor paniek. "100 procent compliance met de AVG is het einddoel, maar het gaat erom dat u op 25 mei een goed privacyverhaal heeft voor de toezichthouder."
 
Een stevige basis
Het uitvoeren van een complete AVG-strategie neemt uiteraard meer dan twee maanden in beslag. "Er zijn geen simpele trucjes voor het waarborgen van security, privacy en transparantie. Maar het is zeker mogelijk om in korte tijd een goede basis te leggen," aldus French. Hij noemt vier cruciale punten die elke organisatie op orde moet hebben:
 
1. Snel voldoen aan de meldplicht
"In Nederland geldt al langer een meldplicht, maar de impact hiervan wordt nog steeds onderschat. Als een datalek onder de meldplicht valt, moet de Autoriteit Persoonsgegevens bij voorkeur binnen 72 uur op de hoogte worden gesteld. Door een melding zo snel mogelijk te doen, creëert u goodwill bij de toezichthouder. Een partner kan ook schuldig zijn aan het lek. U moet dus snel kunnen bepalen waar in de supplychain het fout is gegaan. Daarvoor moet u inzicht hebben in de gehele keten."
 
2. Recht op dataportabiliteit
"Onder de AVG worden de privacyrechten van betrokkenen uitgebreid. Een van de nieuwe rechten is het recht op dataportabiliteit. Uw klanten kunnen vanaf de AVG-deadline verzoeken om hun persoonsgegevens beschikbaar te stellen of deze direct over te dragen aan een andere organisatie. U moet die gegevens bovendien in een gestructureerd, veelgebruikt en machineleesbaar formaat kunnen verstrekken. Neem bijvoorbeeld een tool in gebruik waarmee klanten hun gegevens op een veilige manier kunnen downloaden."
 
3. Dataclassificatie
"Organisaties verwerken bergen data voor verschillende doeleinden. Zo analyseert de marketingafdeling elk klantcontact en verwerkt hr personeelsinformatie. U moet alle persoonsgegevens in kaart brengen en classificeren. Ga extra zorgvuldig om met bijzondere persoonsgegevens, zoals gevoelige gegevens over ras, religie of gezondheid. Maar ook registraties van ziekmeldingen vallen hier al onder. Hebben bepaalde data geen waarde voor de business? Verwijder ze dan."
 
4. Risicogebaseerde aanpak
"Juist omdat persoonsgegevens op zoveel verschillende plekken terecht kunnen komen, wordt het waarschijnlijk lastig om alles voor de deadline aan te pakken. Focus daarom op vijf of zes onderdelen die de hoogste urgentie hebben. Begin bijvoorbeeld met de bedrijfswebsite en de interne communicatiekanalen. E-mail in het bijzonder staat vaak vol met persoonsgegevens, wat forse risico’s kan opleveren. Monitort uw organisatie (potentiële) klanten via social media? Dan moet hier de prioriteit liggen."

Pointers
French adviseert organisaties om een speciaal AVG-team samen te stellen. "Het vinden van privacytalent kan moeilijk zijn, maar het is niet onmogelijk." De Chief Trust Officer van Mimecast geeft enkele pointers:


 
  • Wijs een ‘dedicated’ programmamanager aan die het gehele proces voor compliance met de AVG begeleidt.
  • Vorm een multidisciplinaire commissie voor strategische besluitvorming, datagovernance en toezicht.
  • Verspreid het classificeren van data over de afdelingen die daar ervaring mee hebben.
  • Zorg dat er privacyprofessionals klaarstaan om te helpen bij specifieke taken, zoals data-inventarisatie en privacy impact assessments.
  • Beoordeel of bewerkersovereenkomsten nog toereikend zijn en zorg ervoor dat u de datastromen van derde partijen begrijpt.
  • Stel iemand aan die toeziet op de naleving van de AVG binnen de organisatie. Dat kan een FG zijn. In veel gevallen is dat zelfs verplicht.
 
AVG is een continu proces
Tot slot benadrukt French dat AVG-compliance een continu proces is. "Neem de verplichting om passende technische en organisatorische maatregelen te treffen voor de beveiliging van persoonsgegevens. Wat nu als passende beveiliging geldt, biedt over een jaar misschien geen bescherming tegen nieuwe dreigingen. U zult uw security dus periodiek moeten testen. 25 mei is dus veel meer dan een deadline. Eigenlijk begint het dan pas echt."
 
Wilt u meer weten over de impact van de AVG op uw organisatie? Download dan het gratis e-book ‘GDPR: A Day of Reckoning or Transformation’ van Mimecast en de Cyber Resilience ThinkTank.
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Het recept voor de ideale vacature
 Digitale-competentiekloof schaadt internationale bedrijven
 Kwart bedrijven ervaart personeelstekort
 

Gerelateerde nieuwsitems

 Strengere eisen papiervernietiging door invoering AVG
 Vijf tips voor het verbeteren van de visuele privacy
 AVG/GDPR niet alleen een IT-aangelegenheid’
 Organisaties positief over AVG/GDPR maar gemiste kans dreigt
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
De éénjarige opleiding tot Qualified Bedrijfskundige
Leer bedrijfskundige kennis integraal toe passen in complexe en continu veranderende situaties. Een unieke opleiding waar aandacht is voor kennis, vaardigheden én jouw persoonlijke ontwikkeling! Start 29 oktober, download nu de brochure!
Lees verder
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
Stuur je medewerkers veilig en voordelig de weg op
Belang van een goede werkgeversverklaring
Waar voldoet een goede website voor jouw bedrijf aan?
De juiste planning voor een feilloze bedrijfsverhuizing
reacties
Hoe kunt u slaaptekort van uw medewerkers oplossen? (1) 
De klant is koning, maar is uw medewerker dat ook?  (1) 
Ultieme teambuilding: met het team op vakantie (1) 
HR-beslisser: starters met traineeship mogen meer verdienen dan starters zonder (1) 
De hoge werkdruk grootste probleem in organisaties (1) 
Luieroorlog lijkt voorbij (1) 
Autovakantie: spannendste situaties en grootste irritaties (1) 
top10
Hoe kunt u slaaptekort van uw medewerkers oplossen?
Zeven tips voor sneller burn-out herstel (video)
Zakelijke rijder gaat het liefst met zijn leaseauto op vakantie
De klant is koning, maar is uw medewerker dat ook?
Opleiders populairste doelwitten cyberaanvallen
Vijf slimme manieren die u helpen uw concurrenten te overtreffen
Automobilist kijkt naar werkgever voor opladen elektrische zakelijke auto
Dekkingsgraad duikt onder kritieke grens
Nieuwe tech tools die uw wervingsproces kunnen moderniseren
Vijf fabels over het hergebruiken van software
meer top 10