De AVG: hoe blijf jij door de bomen het bos zien?

Dat de nieuwe privacywet AVG eraan zit te komen, zal niemand ontgaan. Maar waar moet je vooral op letten? De lawine aan informatie maakt het lastig om door de bomen het bos te zien. Daarom hier de belangrijkste punten op een rij.

1594
0

Langzaam maar zeker nestelen de termen AVG en GDPR (de Engelstalige afkorting) zich in de hoofden van managers, medewerkers en ondernemers. De publiekscampagne ‘Privacy gaat iedereen aan’, van de Autoriteit Persoonsgegevens, draagt daar zeker aan bij. Het is goed en belangrijk dat deze campagne er is. Recent onderzoek van KPMG laat namelijk zien dat 82% van de Nederlanders niet op de hoogte is van de nieuwe privacywetgeving. VNO/NCW en MKB-Nederland luiden zelfs de noodklok. Ze verzoeken de Tweede Kamer om handhaving op de wet een jaar uit te stellen omdat kleine bedrijven te weinig kennis hebben. Er is dus nog een wereld te winnen voordat de AVG op 25 mei 2018 ingaat.AVG

Wie zich wil verdiepen in de AVG vindt op internet een overvloed informatie. Alleen is de inhoudelijke content lang niet altijd uniform. En de vele stappenplannen variëren van drie tot vele stappen. Dat leidt tot verwarring.

Waar moet je je zoektocht beginnen, waar vind je betrouwbare informatie? Mijn advies: start bij de bron. In dit geval de Algemene verordening gegevensbescherming (AVG). Deze wet wordt bewaakt door de onafhankelijke Autoriteit Persoonsgegevens (AP) en die stelt alle relevante informatie beschikbaar. Inclusief een overzichtelijk 10-stappenplan, het startpunt van een goede voorbereiding.

Uitgangspunten AVG

Het stappenplan is niet zomaar opgesteld. Ze dienen vier fundamentele uitgangspunten van de AVG.

  1. Alleen persoonsgegevens mogen worden verzameld ten behoeve van gerechtvaardigde doeleinden. Voorbeeld: een ziekenhuis heeft bepaalde gegevens nodig om medische dossiers op orde te houden; een werkgever heeft bepaalde informatie nodig om het salaris van werknemers uit te kunnen betalen.
  2. Gegevens moeten toereikend zijn, oftewel niet meer informatie verzamelen dan strikt noodzakelijk. Voorbeeld: bij het online kopen van een boek mag gevraagd worden om een verzendadres. Anders komt het boek niet bij de koper. Maar vragen naar leeftijd of geslacht is niet relevant voor deze aankoop. Op dit moment gaan veel webshops hiermee in de fout. Maar ook gemeenten vragen hun inwoners soms om te veel persoonsgegevens, bijvoorbeeld bij de uitvoering van de Wmo en Jeugdwet.
  3. De verzamelde informatie moet juist en actueel zijn. Dat betekent bijvoorbeeld dat een webshop die in het verleden te veel gegevens heeft opgevraagd, dit na 25 mei moet corrigeren als de koper een nieuwe bestelling doet. (Door de AVG krijgen betrokkenen hiervoor ook meer rechten).
  4. Veiligheid is een essentieel uitgangspunt. Organisaties moeten persoonsgegevens op een veilige manier opslaan, zowel technisch als organisatorisch.

Verwerkingsregister: plicht én hulpmiddel

Elke organisatie, elk bedrijf moet straks kunnen aantonen dat er in overeenstemming met de wet wordt gehandeld. Dit wordt de verantwoordingsplicht genoemd. Stap 3 van het eerdergenoemde 10-stappenplan van de AP gaat hierover. Om aan deze verantwoordingsplicht te kunnen voldoen, is het nodig om een ‘register van verwerkingsactiviteiten’ bijhouden.

Zie dat register niet alleen als een plicht, maar zeker ook als een hulpmiddel. Het zorgt er immers voor dat je exact weet welke gegevens je hebt, met wie je ze deelt en hoe je ze bewaakt. Zo kun je bij een eventuele controle eenvoudig de gewenste gegevens laten zien. Ook in relatie tot het zogenaamde inzagerecht voor betrokkenen zal het verwerkingsregister een goed hulpmiddel zijn. De nieuwe AVG biedt burgers, klanten en patiënten/cliënten namelijk meer inzagemogelijkheden. Daar moet je organisatie goed op ingericht zijn!

“Nú is het moment om grote stappen te maken in digitalisering”

Digitaliseren is noodzakelijk

AVG

Cruciaal voor een optimale inrichting is digitalisering. Nú is het moment om hier grote stappen in te zetten. Voor de ene organisatie betekent dat het omzetten van papieren naar digitale documenten. Andere organisaties zijn al zo ver, maar werken met verschillende digitale systemen. Ook dan ontstaan hindernissen. Want hoe blijven alle data correct en actueel als ze op meerdere plekken ondergebracht zijn? Systemen aan elkaar koppelen kan soms, maar is meestal ingewikkeld.

De beste oplossing is het implementeren van een eenduidig systeem met flexibele autorisatiemogelijkheden. Wie daarvoor gaat, kan zich op een positieve manier onderscheiden en zal hiervan profiteren. Bovendien biedt één toegankelijk digitaal systeem allerlei mogelijkheden om intern bedrijfsdocumenten met elkaar te verbinden. Denk aan contracten, verslagen en service level rapportages. Wat een kostbare opzoektijd kun je hiermee besparen!

In de volgende aflevering over de AVG ga ik dieper in op persoonsgegevens en de zogenaamde verwerkingsovereenkomst. Benieuwd naar het vorige artikel uit deze serie? Lees het hier: Zie jij zo door de bomen nog het bos?

Downloads bij dit artikel

  • Gratis handleiding voor digitaal werkeneBook

    Bespaar tijd, kosten en creëer efficiency: digitaliseer uw zakelijke documenten en start met digitaal werken. Het e-book ‘Documenten digitaliseren’ biedt inzichten, tips en eye-openers. Download het e-book hier.

  • Security rapportRapport

    Met dit Security rapport kun je je printer als onderdeel van de digitale werkplek in 4 fasen beveiligen.

Franc de Vocht Privacy & Informatie Beveiliging

"< = >" oftewel "Less is more"

Reageer ook

Reacties 0


Reageer

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Reageer ook