AVG compliance: de AVG checklist – wat te doen voor 25 mei? (20/20)
Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Veel is er al over geschreven, wat mag wel, wat mag niet en vooral: hoe moet je dit allemaal regelen? In deze blogreeks zijn we de kernpunten van de nieuwe Europese privacywet langsgelopen. Vandaag sluiten we af met een concreet stappenplan: wat staat je te doen om AVG compliant te worden?
De AVG is vooral een kwestie van documenteren en in kaart brengen. Voor ons begint AVG compliance dan ook met inventariseren: wat doe je en waarom. Die inventarisatie werk je uit tot een registratie, waarmee meteen het verplichte verwerkingsregister is gevuld. De daarbij benodigde informatie levert de vervolgstappen op.
Concreet komt dit neer op het volgende stappenplan voor AVG compliance:
- Inventariseer welke persoonsgegevens in je organisatie worden gebruikt en waarvoor. Dat gaat niet alleen om de ‘grote’ verwerkingen zoals het klantenbestand of personeelsdossiers, maar ook kleine zaken zoals social media monitoring, het tijdschrift voor relaties en de registratie van bezoekers aan de deur.
- Werk iedere verwerking uit tot een registratie (deel 8): wie is verantwoordelijk, waarom doen we dit, welke grondslag hebben we (deel 4 t/m 7) en hoe lang bewaren we deze gegevens (deel 12). Je zult hierbij open vragen tegenkomen, die vervolgstappen opleveren. Denk aan hoe gegevens vernietigd worden of hoe er toestemming gevraagd wordt (deel 4).
- Introduceer beveiligingsbeleid (deel 13) en koppel dit aan de verwerkingen. Je kunt daarbij verwerkingen bijvoorbeeld onderverdelen in licht, middel en zwaar en daar verschillende regels voor stellen.
- Blijkt dat verwerkingen door derden worden gedaan (deel 10), sluit dan een AVG-compliant verwerkersovereenkomst met deze partijen. Achterhaal ook in welke landen zij gegevens opslaan of verwerken, en neem maatregelen als dat buiten de EU blijkt te zijn (deel 18).
- Maak bij iedere verwerking een inschatting van het risico. Als je dit als relatief hoog inschat, voer dan een privacy impact assessment uit (deel 16).
- Bepaal of je een privacy officer nodig heeft en ga er dan naar op zoek (deel 11).
- Vertaal iedere verwerking naar een privacyverklaring (deel 9) en zorg dat mensen deze tijdig kunnen lezen.
- Introduceer beleid voor datalekken (deel 17). Aan wie moet dat intern worden gemeld, en welke personen beslissen over melden bij de toezichthouder en/of aan betrokken personen.
Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
2 Reacties
Peter
Voor een van mijn klanten in de gezondheidszorg ben ik samen met hun bezig met de AVG gevolgen.
Daar heb ik een specifieke vraag over.
De klant werkt met laptops op meerdere locaties. Vanwege het risico van laptops (diefstal etc) hebben we deze 5 jaar geleden al voorzien van schijfencryptie (Bitlocker) plus ontsluiting via een met pincode beveiligde usb-stick (DatAshur). Tot zover gaat het goed: immers, je moet én de pincode (7 cijferig) van de stick weten en daarna het wachtwoord van Windows om bij de gegevens te komen.
Met deze 2FA voldoen we aan de AVG.
Maar… deze beveiliging geldt alleen tijdens het opstarten van de laptop. Als de laptop is opgestart, is alleen het wachtwoord nog de beveiliging. Ze ‘locken’ de laptop wel als ze koffie gaan halen of zo, maar dan is het in feite een 1FA.
Komen we hiermee weg ihkv de AVG?
Zo niet, wie weet dan een oplossing hiervoor?
Ro
Door gebruikt te maken van bijv. DUO Mobile die door middel van een app ook 2FA toepast op Windows logons