Is uw organisatie klaar voor de AVG/GDPR?

Nog maar een paar weken en dan is de AVG (GDPR) van kracht. Het is de belangrijkste verandering in regelgeving rondom gegevens privacy die in 20 jaar gaat plaatsvinden. Aan de basis van data privacy staat intelligent informatiemanagement.Om te voldoen aan de eisen van de AVG is veel expertise nodig op het gebied van informatiemanagement. Hoe en waar wordt de data bewaard, beheerd en ontsloten? En wie krijgen waar toegang tot welke data?

Weet waar de gegevens zijn

Met de vele silo’s aan opgeslagen data (in grote lijnen ook dezelfde persoonsgegevens) is het niet eenvoudig om compliant te zijn aan het recht om vergeten te worden. Dit is één van de eisen van de AVG waaraan moet worden voldaan. Een oplossing waarbij de verschillende applicaties hun brongegevens uit hetzelfde basisarchief halen, maakt dit al veel eenvoudiger. DocBase wordt bij steeds meer organisaties op deze wijze ingezet. Alle content wordt opgeslagen in DocBase al dan niet via de applicaties waarmee de gebruikers werken. En bij het ophalen van gegevens in de applicatie worden de gegevens uit DocBase getoond. Zo is er een consistente en eenvoudige controlemogelijkheid over wat er allemaal is vastgelegd van iemand. Door de open standaarden waarmee DocBase werkt is het voor klanten zelf mogelijk om koppelingen met andere systemen te leggen.

Op het gebied van informatiemanagement kunnen veel organisaties en bedrijven nog een hoop verbeteren. Met de inzet van DocBase kunnen veel verouderde en ook onveilige werkprocessen transformeren naar een nieuwe digitale omgeving. Datastromen van de gebruikte applicaties gaan in de toekomst naar DocBase waar veilige ontsluiting met een AVG-compliant wijze van werken mogelijk wordt gemaakt. 

Een register bijhouden is zinvol of zelfs verplicht

Naast het op een goede wijze omgaan met informatie vraagt de AVG nog meer. Namelijk ook dat u kunt aantonen dat u aan de eisen voldoet. Dit vraagt om governance maatregelen zoals documentatie, het bijhouden van logboeken of automatische logging en voortdurende risicobeheersing. Een register bijhouden is niet voor iedereen verplicht maar helpt wel bij de bewustwording van wat u als bedrijf met persoonsgegevens doet. U kunt vragen van klanten, personeelsleden en andere betrokkenen aangaande uw beleid hierop snel antwoorden. In ieder geval dient u een register bij te houden als uw organisatie meer dan 250 medewerkers heeft of wanneer u bijzondere persoonsgegevens vastlegt (zoals bijvoorbeeld medische gegevens, geloofsovertuiging, geaardheid, enz.). Ook wanneer u optreedt als bewerker voor organisaties met meer dan 250 medewerkers dient u een register bij te houden. Daarbij maakt het dus niet uit hoe groot uw eigen bedrijf is. Hieronder vindt u een overzicht van vast te leggen gegevens in zo’n register. 

  • De naam en contactgegevens van verantwoordelijke (of diens vertegenwoordiger, wanneer de verantwoordelijke buiten de EU is gevestigd), en van de functionaris voor gegevensbescherming (FG; indien aanwezig);
  • de doeleinden waarvoor gegevens worden verwerkt;
  • de categorieën gegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens);
  • de categorieën betrokkenen (bijvoorbeeld: klanten, website bezoekers, werknemers);
  • de categorieën ontvangers (aan wie worden de gegevens verstrekt?);
  • informatie over eventuele doorgifte van gegevens naar landen buiten de EU;
  • de bewaartermijnen van de gegevens;
  • de manieren waarop gegevens zijn beveiligd (bijvoorbeeld: encryptie, logische toegangscontrole, pseudonimisering).

 Bij de verwerker is het register georganiseerd per verantwoordelijke. Verwerkers registreren per verantwoordelijke voor wie zij werken:

  • De naam en contactgegevens van de verwerker en de verantwoordelijke (of hun vertegenwoordigers) en (indien aanwezig) de functionaris voor gegevensbescherming;
  • de categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke);
  • informatie over eventueel doorgifte van gegevens naar landen buiten de EU;
  • de manieren waarop gegevens zijn beveiligd.

Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Een organisatie is dan verplicht inzage te geven. 

Back-up valt ook onder het regime van de AVG

Indien een persoon gevraagd heeft om zijn gegevens te verwijderen en u heeft dat in de productieomgeving doorgevoerd, bent u nog niet klaar. Ook op back-ups dient dit namelijk te gebeuren. Dat is een ’hell of a job’. Indien u kunt aantonen dat het aanpassen van de back-ups niet of nauwelijks mogelijk is, bijvoorbeeld omdat u gegevens op tape heeft opgeslagen, dan dient bij het terugzetten van de back-up alsnog gekeken te worden naar welke gegevens verwijderd hadden moeten worden en dient dit ook uitgevoerd te worden. U dient dus een overzicht bij te houden van welke gegevens op welk tijdstip verwijderd zijn zodat u dit bij back-ups ook kunt bijhouden.

Houd uw applicaties up-to-date

Wat daarnaast vooral ook van belang is, is dat u zorgt voor het up-to-date houden van de gebruikte applicaties. Softwareleveranciers besteden veel tijd en aandacht in updates voor nieuwe beveiligingstechnieken om kwaadwillenden voor te blijven. Zorg dat u bij blijft met uw update beleid.

Blijf zelf ook up-to-date met informatie over security. Want cybercriminelen weten tegenwoordig de zwakste schakel in de organisatie te vinden: de mens

Ontdek de online training DIEV >>

Inspanning wordt beloond

Velen beschouwen de maatregelen die in het kader van de AVG nodig zijn om gegevens te beschermen als een extra belasting. Door data-governance, zoals dat met een mooi woord heet, echter te integreren in de bedrijfsvoering, ontstaan interessante voordelen. Zo neemt het risico op reputatieschade als gevolg van datalekken sterk af en uw relaties zullen uw betrouwbare gegevensbeleid gaan waarderen. Als het goed is neemt ook het risico op schade door cyberaanvallen af vanwege het solide databeheer. Verder zullen intern minder incidenten in digitale processen voorkomen waarmee de ICT-afdeling dan ook minder belast wordt. Compliance tests en audits kunnen makkelijker doorlopen worden en als laatste neemt de kans dat u vanwege datalekken tegen boetes aanloopt sterk af. Het kost wat moeite maar met informatiemanagement onder controle hebben, plukt u de komende jaren ook de vruchten.

Deel dit bericht: