Checklist met 21 tips voor het voorbereiden op GDPR | AVG

05 april 2018 Consultancy.nl

In mei zal binnen Europa een van de grootste veranderingen in privacywetgeving uit onze geschiedenis doorgevoerd worden. De General Data Protection Regulation (GDPR), in ons land ook bekend als de Algemene Verordening Gegevensbescherming (AVG), zal een enorme impact hebben op hoe bedrijven zoeken naar data, en deze opslaan en analyseren. Voor consumenten biedt de nieuwe wetgeving een doorbraak als het gaat om hun recht op gegevensbescherming, aangezien zij meer grip zullen krijgen op hoe er met hun gegevens wordt omgesprongen.

Wanneer de GDPR/AVG ingaat, zullen zowel overheid als bedrijfsleven zich moeten conformeren aan de nieuwe verordening, die in de eerste plaats zorgt voor een uitbreiding van de privacyrechten van burgers. Organisaties zullen hun systemen, processen en interne organisatie op deze (nieuwe) rechten moeten gaan inrichten. Met de invoering van de nieuwe wetgeving – die in de plaats komt voor de nu nog geldende Wet bescherming persoonsgegevens (Wpb) – wil de Europese Commissie twee zaken bereiken. Enerzijds wil het burgers meer controle geven over de manier waarop organisaties met persoonsgegevens en wil het privacygevoelige gegevens beschermen die organisaties bezitten. Daarnaast wil de EC binnen Europa de privacywetgeving gelijktrekken door een simpeler en eenduidig juridisch kader te bieden rondom gegevensbescherming.

Met in de eerste plaats de burgers die centraal staan, komt er door de nieuwe verordening op zowel de overheid als bedrijven een golf aan veranderingen af, die de wijze waarop organisaties data verwerken enorm zal veranderen. De AVG zal dan ook een impact hebben op de gehele bedrijfsvoering van organisaties, van data strategie tot processen, organisatie, systemen en manieren van werken. De voorbereidingen richting de GDPR-deadline van 25 mei zijn veel organisaties de afgelopen periode een doorn in het oog geweest. Niet alleen moest er veel gebeuren, maar ook de met de voorbereidingen gemoeide kosten konden flink oplopen. Onderzoek van Sia Partners onder Britse beursgenoteerde bedrijven toonde aan dat deze bedrijven gemiddeld zo’n €17 miljoen kwijt waren aan GDPR-compliance.

Die voorbereidingen waren echter nog maar de eerste stap, want ook na de invoering van de nieuwe verordening zullen bedrijven zich strikt aan de nieuwe privacywetgeving moeten gaan houden. Doen ze dat niet, dan lopen ze het risico om tegen zeer hoge boetes aan te lopen, van 4% van de wereldwijde jaaromzet tot een maximum van €20 miljoen. In ons land valt de handhaving van de nieuwe AVG onder het mandaat van de Autoriteit Persoonsgegevens.

Checklist met 21 tips voor het voorbereiden op GDPR | AVG

Om managers en IT-afdelingen voor te bereiden op de naderende GDPR, hebben adviseurs van Mobilee een checklist ontwikkeld die hen kan helpen bij de voorbereidingen. De vragen, 21 in totaal, zijn gegroepeerd rondom drie sleutelfasen die volgens de onderzoekers relevant zijn voor een succesvolle GDPR-implementatie: bewustwording (vragen 1 t/m 5), aanpak & realisatie (vragen 6 t/m 18), en borging binnen de organisatie voor de lange termijn (vragen 19 t/m 21).

1. Ben ik voldoende op de hoogte van de inhoud van de AVG?
Het is belangrijk vertrouwd te raken met de actuele privacywetgeving. Op de website van de Autoriteit Persoonsgegevens is uitgebreide informatie over het onderwerp te vinden. 

2. Besef ik als manager of beleidsmaker voldoende dat de AVG impact heeft op mijn organisatie?
Maak een inschatting van de impact op de organisatie en processen en wees ervan bewust dat de implementatie mogelijk veel inspanning en geld gaat kosten. 

3. Zijn er mensen binnen mijn organisatie verantwoordelijk voor de implementatie van de AVG?
Het is verstandig om een multidisciplinair team samen te stellen met vertegenwoordigers uit ‘geraakte’ afdelingen, aangevuld met juridische expertise op het gebied van privacy. 

4. Heb ik een Functionaris Gegevensbescherming (FG) nodig of niet?
Een FG als centraal aanspreekpunt is aan te bevelen, maar is pas verplicht in het geval van een overheids- of publieke instantie, of als de organisatie op grote schaal personen volgt (via cameratoezicht bijvoorbeeld) of indien op grote schaal bijzondere persoonsgegevens verwerkt worden, zoals gezondheids- en strafrechtelijke informatie.

5. Heb ik alle in- en externe datastromen binnen mijn organisatie duidelijk in kaart?
Zorg voor een helder overzicht van de in- en externe datastromen en onderzoek via welke applicaties en systemen deze datastromen lopen. Zorg daarna voor een geprioriteerde lijst, waarin de data met de meeste impact of gevoeligheid bovenaan staat.

6. Ken ik de risico’s van de verwerkingen die mijn organisatie doet?
De wet schrijft voor dat verantwoordelijke organisaties passende technische en organisatorische maatregelen treffen om de verwerking volgens de AVG uit te voeren en om zo min mogelijk risico te lopen. Het risico van de verwerkingen en benodigde maatregelen wordt bepaald door de kans op een incident in te schatten en te combineren met de mogelijke impact.

7. Moet ik een verwerkingsregister opstellen of niet?
Werken er bij de organisatie 250 of meer medewerkers? Dan is een verwerkingsregister verplicht. Bij minder dan 250 medewerkers is alleen ‘registratieplicht’ van toepassing indien de organisatie risicovolle verwerkingen uitvoert, wanneer de organisatie werkt met gevoelige, bijvoorbeeld medische data, of indien deze zeer grote hoeveelheden data verwerkt. Het verwerkingsregister kan een eenvoudig Excel-bestand zijn. In de AVG staat omschreven wat hierin bijgehouden dient te worden.

AVG raakt de complete bedrijfsvoering van organisaties, van strategie en processen tot systemen en cultuur

8. Heb ik per type data alles goed vastgelegd?
Het betreft de volgende data: contactgegevens verantwoordelijke, doel van de gegevens, wettelijke grondslag, categorie persoonsgegevens, categorie betrokkenen, bewaartermijn, verwerkers met toegang en informatie over doorgifte aan niet EU-landen.

9. Heb ik een privacy policy?
Een in- en externe privacy policy is nodig om betrokkenen te informeren over de verzamelde informatie en ze te wijzen op hun rechten. Deze bevat minimaal de volgende informatie: info over vertegenwoordiger van de verantwoordelijke (privacy officer), doel van de verwerking en de juridische grondslag, ontvangers (derden) van de gegevens, bewaartermijnen van gegevens, info over de rechten van de betrokkenen (zoals in AVG staat omschreven) en informatie over procedures in het geval van een datalek.

10. Heb ik alle procedures en werkwijzen ingericht?
Zorg voor ingerichte procedures om op een efficiënte manier gegevens van betrokkenen te kunnen wijzigen of verwijderen. Om te kunnen voldoen aan dataportabiliteit, moeten machine-leesbare processen ontwikkeld worden op basis van open standaarden. Zo kunnen gegevens eenvoudig en gecontroleerd worden uitgewisseld.

11. Kennen alle betrokkenen mijn privacybeleid?
Publiceer het privacy-beleid, bijvoorbeeld op de website. Bij het aangaan van een overeenkomst moeten de betrokkenen dit beleid expliciet accepteren. De interne privacy policy kan gedeeld worden, bijvoorbeeld via het huishoudelijk reglement/handboek en bij de arbeidscontracten. 

12. Heb ik naar mijn huidige verzameling persoonsgegevens gekeken?
Onderzoek of het mogelijk is de kwaliteit en relevantie van de data te verbeteren. Probeer daarbij de hoeveelheid data zoveel mogelijk te minimaliseren. 

13. Heb ik voldoende en op de juiste manier toestemming gevraagd voor gegevensverwerking?
Als je de verwerking van gegevens baseert op toestemming van de betrokkene, onderzoek dan of je dit doet volgens de nieuwe regels van de AVG. De betrokkene moet ‘expliciet’ en actief toestemming geven. Ook moet de toestemming vastgelegd worden, zodat het aantoonbaar wordt. Zorg ook voor een eenvoudige procedure om de toestemming in te trekken. 

14. Heb ik verwerkersovereenkomsten met mijn leveranciers afgesloten?
Verwerkersovereenkomsten moeten voldoen aan de AVG. De AVG zorgt voor meer verplichtingen voor verwerkers, dus controleer ook huidige overeenkomsten. Geef hierbij bijzondere aandacht aan datadoorgifte en -opslag buiten de EU. Hiervoor zijn aanvullende afspraken nodig.

Organisaties die niet voldoen aan GDPR kunnen hoge boetes krijgen

15. Heb ik een procedure voor datalekken ingericht?
Er moet een goede procedure worden ingericht voor het voorkomen van datalekken en het melden van datalekken aan de Autoriteit Persoonsgegevens. Maak hiervoor een overzicht met contactpersonen en leg contractafspraken over het melden van datalekken en de aanlevering van gegevens vast in verwerkersovereenkomsten.

16. Heb ik voldoende technische en organisatorische maatregelen genomen om datalekken te voorkomen?
Technische en organisatorische maatregelen zijn nodig om het risico voldoende te mitigeren. Denk bijvoorbeeld aan de versleuteling van gegevens, de flexibiliteit om de toegang tot gegevens snel te herstellen en security-maatregelen om de vertrouwelijkheid van gegevens te garanderen.

17. Heb ik een Information Security Management System (ISMS) nodig en welke maatregelen horen hierbij?
Het is verstandig om regelmatig door externe auditors te laten beoordelen of de processen en systemen voldoende functioneren. Denk hierbij aan ISO27001 of NEN7510 (zorg). Enkele maatregelen die hieruit kunnen komen; screenen van medewerkers, toepassen encryptie, wachtwoordbeleid en het verstevigen van beveiligingssoftware. 

18. Heb ik vastgesteld dat maatregelen succesvol (genoeg) zijn?
De AVG vraagt niet alleen om maatregelen van organisaties, de AVG vereist ook dat de maatregelen voortdurend geëvalueerd worden. Op deze manier kan worden vastgesteld dat de genomen maatregelen maximaal succesvol zijn. Zeker als ook de documentatie hiervan op orde is. 

19. Doe ik voldoende aan “Privacy by Design”?
De AVG schrijft ‘Privacy by Design voor. Dat betekent dat al in de ontwerpfase van diensten en systemen de bescherming van persoonsgegevens meegenomen wordt. Denk bijvoorbeeld aan het beperken van de uitvraag van gegevens tot de strikt noodzakelijke gegevens of aan dubbele authenticatie van gebruikers. 

20. Doe ik voldoende aan ‘Privacy by Default’?
Naast ‘Privacy by Design’ vereist de AVG ook ‘Privacy by Default’ van organisaties. Dat betekent onder andere dat persoonsgegevens uitsluitend worden verwerkt voor het doel, waarvoor ze zijn verkregen. Hiervoor moet een organisatie aantoonbare maatregelen nemen. 

21. Voer ik Privacy Impact Assessments (PIA’s) uit?
Als de verwerking van gegevens een verhoogd privacy-risico oplevert, dan is een Privacy Impact Assessment noodzakelijk om vast te stellen wat de risico’s zijn en welke maatregelen nodig zijn. Dit is bijvoorbeeld het geval wanneer aan vormen van ‘profiling’ wordt gedaan of wanneer nieuwe technologie wordt geïntroduceerd. Een PIA kan eenvoudig zelf uitgevoerd worden, bijvoorbeeld door een functionaris gegevensbescherming of door een externe privacy-expert. 

Met betrekking tot de terminologie gebruikt hierboven. De ‘betrokkene’ is de persoon, waarvan de persoonsgegevens worden verwerkt (dit kan iedereen zijn). De ‘verantwoordelijke’ is de partij die verantwoordelijk en aansprakelijk is voor de verwerking van de gegevens. Tot slot de ‘verwerker’, dit is de organisatie die de gegevens daadwerkelijk verwerkt.

Gerelateerd: Handleiding GDPR | Algemene verordening gegevensbescherming (AVG).

Nieuws

Meer nieuws over