Deze website gebruikt cookies

We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.

Onze privacyverklaring:

Blogs / 

De AVG-Klok Tikt Genadeloos Verder ...

IT, Privacy & Cybersecurity

24 juli 2017

Geschreven door

Natascha van Duuren

Blog Image
Wij hebben nog 10 maanden en 1 dag te gaan tot de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG), die de Wet bescherming persoonsgegevens vervangt. Wat moet je als gegevensverwerker (verwerkingsverantwoordelijke of ‘bewerker’) doen?  Hierna heb ik een aantal projecten (op hoofdlijnen) opgesomd. Afhankelijk van de hoeveelheid en soorten (persoons-)gegevens die uw organisatie verwerkt, zal daar minder of meer tijd in gaan zitten. Duidelijk is wel dat er actie moet worden ondernomen. Het risico op zeer omvangrijke boetes is aanwezig. Deze worden opgetrokken van € 820.000,- naar € 20.000.000,- (of 4% van de wereldwijde jaaromzet, wanneer die hoger is dan € 20 mio.). Er zijn niet veel ondernemingen en instellingen, die dit soort bedragen kunnen reserveren of betalen, zonder dat de continuïteit van de instelling wordt bedreigd.

Beschrijving Programma AVG-compliance op hoofdlijnen:

  1. Functionaris Persoonsgegevens/Privacy Officer (m/v). Evalueren of deze verplicht dan wel gewenst is en zo ja, werven, opleiden en inbedden in de organisatie.
  2. Heroverwegen en aanpassen van uw Privacybeleid. Wij raden een complete revisie aan, omdat wij (1.) hebben ervaren dat een aantal organisaties de wijzigingen van de Wet bescherming persoonsgegevens per 1 januari 2016 nog niet heeft doorgevoerd en (2.) erin geloven dat het voldoen aan de Wbp nu en de AVG na 25 mei 2018 aanzienlijke voordelen biedt voor organisaties.
  3. Project Register Persoonsgegevens: het plannen en uitvoeren van het inrichten, opzetten en onderhouden van een interne registratie van alle processen waarmee persoonsgegevens worden verwerkt door of in opdracht van uw organisatie. Een inventarisatie van dergelijke processen hoort daar ook bij.
  4. Project Datalek: het opstellen van een beleid en het inrichten van een (crisis-)team dat snel kan werken aan een proces dat de registratie en het tijdig melden van datalekken aan de Autoriteit Persoonsgegevens mogelijk maakt.
  5. Project Bewerkingsovereenkomsten: inventarisatie van alle verwerkingen die door anderen voor uw organisatie(downstream) of door u in opdracht van anderen (upstream) worden gedaan en het aanpassen van bestaande bewerkersovereenkomsten aan wijzigen in de wet- en regelgeving en veranderde feiten en omstandigheden.
  6. Project Privacy by Design en Privacy by Default: het inventariseren en inrichten van processen van nieuwe gegevensverwerkingen en aanpassingen van bestaande gegevensverwerkingen, waarmee (1.) de bescherming van privacy vanaf het begin af aan wordt meegenomen en (2.) het beschermingsgemak van de betrokkenen voorop staat.
  7. Project Privacy Awareness: het bewustmaken en trainen van uw organisatie als het gaat om de bescherming van persoonsgegevens. Wat is het belang van de bescherming van persoonsgegevens, wat is het beleid van uw organisatie en wat zijn de instrumenten en processen, die uw organisatie toepast om de persoonlijke levenssfeer van betrokkenen te waarborgen?

Bent u een onderneming, die alleen maar contactgegevens van klanten aanhoudt voor facturering en contact? Dan is dit waarschijnlijk geen omvangrijk programma. Maar geeft u die data ook door aan derden (bijvoorbeeld om de facturen te incasseren, dan wordt het al een ander verhaal. En vindt die verwerking plaats buiten de Europese Unie (of een van de weinige landen met een vergelijkbaar beschermingsniveau), dan komen er nog meer kopzorgen bij. Maar de meeste ondernemingen, ook start-ups, draaien tegenwoordig om gegevensverwerking en niet zelden zijn dat persoonsgegevens. In dat geval is het zaak een toereikend privacy-programma op te zetten, uit te voeren en te onderhouden.

Heeft u zicht op de risico’s en het juridische perspectief op de IT-diensten, die u verleent en afneemt? Weet u waar u mee bezig bent op het gebied van privacy? Voldoet uw organisatie aan alle verplichtingen van de Wbp en bent u tijdig voorbereid op de invoering van de AVG, zodat u per 25 mei 2018 in overeenstemming daarmee handelt? Neem vrijblijvend contact met ons op om te bekijken hoe wij – of andere adviseurs, waarmee wij goede ervaringen hebben – u verder kunnen helpen bij het vergroten van het maatschappelijk vertrouwen in uw organisatie.

Vragen?

Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Advocaat & partner IT, Privacy & Cybersecurity.