AVG in 500 woorden
Handige weetjes die u snel vooruit kunnen helpen
Houdt u, behalve van uw eigen personeel, ook nog andere persoonsgegevens bij die vallen onder de huidige Europese wetgeving voor bescherming van persoonsgegevens, of kortweg AVG? Dan loopt u kans dat u benadert wordt door één van de wettige vertegenwoordigers. Heeft uw ICT afdeling die gegevens veilig voor u opgeborgen en gezekerd? Want het antwoord op die vraag kan van cruciaal belang zijn voor uw verkoopproces en financieel proces, los van de diverse andere risico’s die u als onderneming loopt.
Wat zijn snelle en handige weetjes die u snel vooruit kunnen helpen?
Als eerste is een snelle inventarisatie belangrijk. Dit houdt in dat er wordt bekeken wat, waar, hoe, hoe lang en door wie er binnen uw organisatie persoonsgegevens worden bewaard. De volgende vragen en antwoorden helpen daarbij:
- Mag uw organisatie persoonsgegevens verwerken en hoe stel ik dat vast? De Autoriteit Persoonsgegevens geeft daar duidelijke antwoorden op die u kunt vinden via deze link.
- Hoe, waar en hoe lang registreert en bewaart uw organisatie die informatie? Zijn dat behalve de personeelsafdeling en de boekhouding ook andere afdelingen, zoals sales, commercie, de helpdesk, consultancy of de afdeling projecten?
- Bewaren de betreffende afdelingen de informatie in papieren dossiers, digitaal of allebei? In een databestand, op USB, op privé computers, bij externe leveranciers of in de Cloud? En zijn deze gegevens versleuteld of niet versleuteld, beschermd of onbeschermd?
- Hoe wordt informatie verwijderd en is dat dan permanent? Wordt er bijvoorbeeld gebruik gemaakt van een eigen papierversnipperaar of een ingehuurd bedrijf? Kan het ICT personeel bij alle persoonsgegevens en kunnen ze deze permanent verwijderen? Is dit ook al eens door een onafhankelijke partij gecontroleerd?
Daarnaast is het belangrijk dat er een bedrijfsbeleid bestaat dat door de directie is goedgekeurd én wordt opgevolgd. Dit beleid moet ook bij alle afdelingen bekend zijn en worden na- en opgevolgd.
Als derde moeten zowel de inventarisatie, het beleid als alle vervolgstappen overzichtelijk en duidelijk gedocumenteerd zijn, zodat een eventuele audit geen verrassingen met zich meebrengt. Hierbij kan de afdeling ICT een belangrijke rol spelen, wanneer dit voor een groot gedeelte geautomatiseerd wordt in een periodiek schema, over het hele bedrijf.
Als vierde moet het hele proces van bescherming van persoonsgegevens en mogelijk andere informatie op een goede maar eenvoudig controleerbare manier worden beheerd. Op deze manier wordt duidelijk welke afdelingen voor welke procesonderdelen van de verwerking verantwoordelijk zijn, zodat ze daarop aangesproken kunnen worden.
Op de vijfde plaats moeten alle risico’s die hier betrekking op hebben – of dat nu het risico op imagoschade is of het risico op klantverlies – geïnventariseerd, beoordeeld, afgeschermd en beperkt worden. Hierbij gaat het om zowel persoonlijke risico’s als bedrijfskritieke risico’s. Omdat veel informatie digitaal verwerkt wordt, zal dit samengaan met intensieve betrokkenheid en ondersteuning van uw ICT afdeling.
Op de zesde plaats moeten alle aspecten die te maken hebben met alle vormen van communicatie, (opnieuw) geïnventariseerd, onderzocht en getoetst worden. Dit kan betekenen dat er nieuwe vormen van communicatie moeten worden ingezet, of dat communicatie via andere kanalen moet lopen. Vervolgens moet dit ook optimaal hanteerbaar en inzetbaar worden gemaakt.
En ten slotte is het belangrijk dat u regelmatig op de hoogte wordt gesteld, omdat dit dynamische processen zijn en onderhevig aan veel externe invloeden (zoals maatschappelijke gebeurtenissen, sociale media, internet, jurisprudentie en incidenten). Op de hoogte blijven kan door middel van duidelijke rapportage over wat er speelt, of er statuswijzigingen zijn, of u beschermd bent en of u maatregelen moet nemen om omzetverlies of andere financiële malaise te voorkomen of om de organisatie daar beter tegen te beschermen.
Bovenstaande stappen en vragen zijn de meest belangrijke dingen waar u als bedrijf aan moet voldoen. Meer weten over concrete vervolgstappen? Vraag het onze Security Officer.
Kijk ook eens naar onze 11 praktische tips en adviezen inzake AVG
(auteur Douglas Robbemond, senior consultant complex ICT)