Herinnert u zich de tsunami aan AVG mails nog die u vlak voor 25 mei heeft ontvangen? Alle bedrijven beloofden zich keurig aan de regels te houden. Enkele maanden later is het verdacht stil rond deze ingrijpende wet. Een goede toepassing van de AVG is en blijft echter ook na 25 mei heel belangrijk. Roeland Reijers, Chief Information Security Officer a.i. bij de Universiteit en Hogeschool van Amsterdam en docent van onze Masterclass Privacy, data governance en de AVG legt uit waarom.
1. De AVG heeft een blijvende impact op een groot deel van uw organisatie
De AVG is een echte wet, waar ruim 5 jaar over is vergaderd, gelobbyd en veroordeeld. Deze wet gaat niet op korte termijn verdwijnen. De wet heeft impact op alle lagen van uw organisatie. Vanwege haar grote reikwijdte spelen veel verschillende stakeholders een rol bij het voldoen aan de AVG.
Om te kunnen voldoen aan de AVG, zult u op ieder moment moeten weten:
- welke organisatieprocessen persoonsgegevens verwerken
- of en hoe deze processen voldoen aan uw informatiebeveiligings- en privacybeleid
- of de Privacy en Security by Design principes nog steeds worden gevolgd
- welke verwerkingen u heeft uitbesteed aan externe verwerkers.
Privacy is net als informatiebeveiliging een onderwerp van uw directie/bestuur. Aan de FG en CISO wordt geadviseerd om jaarlijks verslag uit te brengen aan de directie en minimaal 2 keer per jaar met het bestuur te overleggen over de status van informatiebeveiliging en AVG compliancy.
2. U verplicht bent om sommige AVG gerelateerde processen opnieuw uit te voeren
De AVG is geen eenmalige exercitie, maar een proces. Dit geldt bijvoorbeeld voor het uitvoeren van een Data Protection Impact Assessment (DPIA). De DPIA is een instrument waarmee u vooraf de privacy risico’s van een gegevensverwerking in kaart brengt, zodat u daarna maatregelen kunt nemen om de risico’s te verkleinen. De Autoriteit Persoonsgegevens heeft richtlijnen opgesteld voor het uitvoeren van een DPIA. Bij grote wijzigingen in de verwerking van persoonsgegevens kan het verplicht zijn om de DPIA te herzien, of er een uit te voeren als dat nog niet is gebeurd.
3. U moet blijven checken of de gemaakte afspraken in de verwerkersovereenkomsten worden nageleefd
Om te voorkomen dat een andere partij uw persoonsgegevens voor eigen doelen gaat verwerken sluit u een verwerkersovereenkomst af. In de verwerkersovereenkomsten stelt u vast aan welke beveiligingseisen de verwerker en haar subverwerkers moet voldoen. U heeft het recht om de verwerker te auditen of u heeft de verwerker verplicht om zich regelmatig te laten auditen op een bepaalde normering, bijvoorbeeld de ISO27001. Stel in ieder geval vast hoe vaak u uw verwerkers gaat of laat auditen of hoe vaak de verwerker u voorziet van een TPM verklaring of audit rapportage.
Heeft de verwerker nog steeds dezelfde subverwerkers? Heeft u daar toestemming voor gegeven? De AVG vereist dat u de gemaakte afspraken blijft checken.
4. Wijzigingen in uw organisatie gevolgen kunnen hebben voor uw AVG beleid
Het kan zomaar zijn dat een afdeling in uw organisatie besluit om een deel van het proces uit te besteden. Daardoor krijgt u te maken met een nieuwe verwerker. Voldoet deze verwerker aan de eisen van de AVG? Deze verwerker maakt mogelijk ook gebruik van subverwerkers. Daar moet u toestemming voor geven. Ook als de verwerker wijzigt van subverwerker moet de verwerker u daar tijdig van op de hoogte stellen en dient u ook daar toestemming voor te geven, of u heeft de kans om uw proces bij een andere verwerker onder te brengen. Wanneer uw organisatie of verwerker wijzigingen doorvoert, vraag uzelf dan dus altijd af of dit invloed heeft op de AVG en of aanpassingen nodig zijn!
- Meer informatie
Op 5, 12 & 19 juni 2019 organiseert Erasmus Academie de derde editie van de masterclass Privacy, data governance en de AVG. In deze verdiepende en praktische masterclass staat het doelgericht integreren van de AVG in uw organisatie(processen) centraal. Meer weten? Bekijk de opleidingspagina.