03 sep Hoe blijven bedrijven AVG-proof?
Inspiratie: kennisbank
Tot 25 mei 2018 kon niemand er om heen: Hoe worden bedrijven AVG-ready? Maar nu deze datum gepasseerd is horen we steeds minder over AVG. Bedrijven zullen echter moeten blijven voldoen aan deze privacywet. In deze blog leggen wij uit hoe bedrijven AVG-proof blijven.
AVG proof blijven
Veel bedrijven hebben al stappen genomen om AVG-ready te worden. Gemiddeld kost dit proces zes maanden, zoals bleek uit ons Nationale Benchmarkonderzoek.
Wij hebben een kort stappenplan gemaakt voor onze klanten waarmee zij AVG-proof blijven.
AVG Proof Stap 1: Processen inzichtelijk maken en behouden
Het belangrijkste proces om AVG-ready te worden was het inzichtelijk maken van de bedrijfsprocessen waarin persoonsgegevens worden verwerkt. We herhalen dit proces nogmaals omdat stap 2 niet kan worden uitgevoerd, zonder eerst processen inzichtelijk te hebben gemaakt.
- Welke persoonsgegevens worden verwerkt?
- Met welk doel worden deze gegevens verwerkt?
- Is er toestemming om deze gegevens te verwerken?
Veel bedrijven geven aan dat zij weten welke gegevens zij verwerken. Uit onze ervaring blijkt echter het tegenovergestelde. Vaak worden softwaresystemen ingekocht vanuit verschillende afdelingen. Zij werken immers ieder met hun eigen systeem; CRM, marketingautomation, facturatiesysteem etc. Het is noodzakelijk dat er inzichtelijk is welke gegevens daarin worden verwerkt, met welke reden en of er toestemming is om deze te verwerken. De AVG verplicht bedrijven om hun klant de optie te geven verwijderd te worden uit uw bestand. Bedrijven moeten dan aantonen waar alle gegevens staan en de wens van de klant kunnen uitvoeren.
AVG Proof Stap 2: Registers vullen en bijhouden
In een verwerkingsregister wordt genoteerd welk type gegevens worden gebruikt, waarom en hoe deze worden verwerkt en met wie de gegevens gedeeld worden. Ook wordt hierin opgenomen hoe de toestemming tot het gebruik van deze gegevens is vastgelegd. Hierbij komen vaak veiligheidsrisico’s naar boven.
Het vullen en bijhouden van verwerkingsregisters is verplicht onder de AVG als:
- Het bedrijf meer dan 250 medewerkers heeft. En heeft het bedrijf minder dan 250 medewerkers, dan moet het bedrijf over een verwerkingsregister beschikken als:
- De verwerking van persoonsgegevens structureel is, bijvoorbeeld:
- Verwerking van gegevens ten behoeve van de salaris administratie
- Verwerking van persoonsgegevens voor contracten
- Het verzamelen van contactgegevens via een website of CRM systeem.
- Het bedrijf persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de personen.
- Het bedrijf bijzondere persoonsgegevens verwerkt, zoals godsdienst, gezondheid en/of politieke voorkeur.
Het bijhouden van deze registers is zeer belangrijk. Zodra er een melding over een bedrijf wordt gemaakt bij de Autoriteit Persoonsgegevens, moet het bedrijf kunnen aantonen hoe de persoonsgegevens zijn verwerkt en met welke toestemming. Dit moet verplicht digitaal worden vastgelegd. Bij een datalek geldt hetzelfde. Als de registratie dan verouderd is, krijgt het bedrijf mogelijk een boete.
AVG Proof Stap 3: Herzien van het beleid
De meeste bedrijven hebben reeds een beveiligingsbeleid en een verwerkingsbeleid opgesteld. Hierin worden heldere afspraken vastgelegd en ligt er een standaard van hoe gegevens worden verwerkt, met welke reden en hoe het bedrijf daar mee om gaat.
Het herzien van het beleid is ook onderdeel van de AVG. De AVG verplicht bedrijven om een up-to-date beleid te hebben. Hoe oud het beleid mag zijn is in de AVG niet helder. Wij adviseren elk kwartaal tot half jaar het beleid te bekijken, te verbeteren en opnieuw te implementeren.
Voldoet u volledig aan de AVG?
De meldingen bij de Autoriteit Persoonsgegevens lopen door en uw klanten worden steeds kritischer op welke informatie u mag verwerken.
Onderschat AVG dus niet.
Onze AVG-expert Martijn Brinkman vertelt u graag of u voldoet aan de AVG en waar mogelijk uw valkuilen liggen op het gebied van Security.
