Voldoe jij al aan de AVG? (Stappenplan)

Vanaf mei volgend jaar gelden er nieuwe regels voor het bedrijfsleven rondom privacygevoelige gegevens. Omdat echter een groot deel van de bedrijven hier nog onbekend mee is, geven wij je een aantal praktische handvatten.

Bord met private erop
8 september 2017

General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) zoals we het in Nederland noemen, is vanaf 25 mei 2018 van toepassing. De GDPR is een Europese verordening en geldt dan ook voor alle lidstaten van de Europese Unie.

In Nederland geldt de AVG direct als wet, zelfs wanneer de wetgever niets regelt. Het neemt de plaats in van de Wet bescherming persoonsgegevens (Wbp). Hierdoor verandert het juridisch kader, mede omdat er een aantal nieuwe verplichtingen voor het bedrijfsleven worden geïntroduceerd. Uit onderzoek blijkt echter dat veel bedrijven hier nog onbekend mee zijn, terwijl de gevolgen verstrekkend kunnen zijn!

Helft bedrijven onbekend met AVG of GDPR

Infradata liet Conclusr Research onderzoek doen onder 70 bedrijven naar hun kennis over de GDPR. Hieruit blijkt dat iets minder dan de helft (47%) onbekend is met de GDPR. Van de grote bedrijven is zelfs maar 30% bekend met de GDPR, terwijl voor kleine tot middelgrote bedrijven dit percentage op 57% ligt.

Uit het onderzoek komt verder naar voren dat veel bedrijven vooral nog worstelen met de vraag hoe zij in 2018 aan de GDPR kunnen voldoen. Wel hebben diverse bedrijven inmiddels stappen genomen als:

  • Het installeren van een nieuwe firewall
  • Het maandelijks monitoren van het netwerk
  • Het aanstellen van extra personeel voor ICT en de beveiliging daarvan

Rechten en verplichtingen AVG

Onderstaande afbeelding van privacy perfect vat goed samen welke rechten en verplichtingen er onder de AVG vallen.

Bedrijven die niet voldoen aan de GDPR/AVG zullen de gevolgen ondervinden. Wanneer bijvoorbeeld een datalek niet wordt gemeld, kan er een boete worden opgelegd van maximaal 2% van de jaaromzet. Indien het gaat om ernstige misstappen kan de boete zelfs oplopen tot 4% van de jaaromzet, met een maximum van 20 miljoen euro.

Stappenplan AVG

Om je te helpen met de implementatie van de AVG hebben we een handig stappenplan opgezet. We gaan daarbij kort in op de wet, DPIA, de GAP analyse en de backlog & sprint

De wet en toepassing

Veel onderdelen van de AVG komen overeen met de privacywet zoals die tot nu toe van toepassing is.

De AVG komt er kortgezegd op neer dat alle bedrijven en iedereen met een website in elk geval de privacyverklaring moet aanpassen. Dit geldt voor iedere website en organisatie die gegevens verzamelt.

Charlotte Meindersma legt in deze video uit waar je privacyverklaring aan moet voldoen.

Een aantal belangrijke verschillen zijn hoe je zaken documenteert, de vernieuwde rechten van betrokkenen zoals klanten of medewerkers, privacy by design & by default en de Data Privacy Impact Assesment (DPIA).

Wij raden in ieder geval aan om een of meerdere personen binnen de organisatie aan te stellen die verantwoordelijk zijn voor de privacy compliance.

GAP Analyse

Voordat je aan de slag gaat met de AVG moet je in kaart brengen welke persoonsgegevens er binnen je organisatie worden verwerkt. Ga na:

  1. Welke gegevens er worden gebruikt
  2. Wie de gegevens gebruikt
  3. Voor welke doeleinden de gegevens worden gebruikt

Middels een zogenoemde GAP analyse kan per applicatie of proces snel een overzicht worden verkregen welke punten nog aandacht vergen. Deze analyse kan eenvoudig online worden uitgevoerd.

DPIA

Het uitvoeren van een DPIA is verstandig wanneer de verwerkte gegevens daar aanleiding toe geven. Een DPIA is bijvoorbeeld verplicht wanneer er een hoog privacyrisico is voor betrokkenen.

Op basis van de uitkomsten van de DPIA kunnen er gerichte acties worden ondernomen om risico’s te verminderen. Er kan worden bijgestuurd tijdens de ontwikkeling door bijvoorbeeld bepaalde onderdelen te herontwerpen.

Deze zaken worden door ons altijd vastgelegd in een backlog en de daaruit voortvloeiende werkzaamheden ingedeeld in sprints.

Hoe Synetic privacy en security waarborgt

Eerder schreven wij al hoe Synetic data privacy en security waarborgt. In het kort ziet ons proces er als volgt uit:

  1. Vulnerability scan
  2. Peer review
  3. Testing
  4. Acceptatietest
  5. Livegang

Daarbij houden wij ook rekening met de Drupal coding standaarden en beveiligingsrichtlijnen, terwijl onze opgeleverde websites en applicaties worden gehost op een veilige omgeving.

Wil je weten hoe veilig jouw Drupal omgeving is? Vraag dan onze Drupal Scan aan.

Tip! Download de brochure Stappenplan Cookies volgens AVG aan.

  • Vraag het Stappenplan cookies volgens AVG aan

    Vanuit de Algemene Verordening Gegevensbescherming en onze telecommunicatie wetgeving wordt het beschermen van persoonsgegevens geregeld. Het online volgen van mensen mag niet zonder toestemming, persoonsgegevens moeten uitwisselbaar zijn tussen systemen en de beveiliging moet voldoende zijn om deze gegevens te beschermen. We helpen met inzicht te krijgen in welke cookies er zijn, hoe je ze onder controle krijgt en of zaken als anonimiseren goed geregeld zijn.

    Meer informatie