Selecteer een pagina

GDPR / AVG anno 2019 | Checklist & actieplan.

Het is wachten op het moment dat de autoriteiten GDPR / AVG wél goed geregeld hebben. Wees slim, gebruik vandaag om je zaken voor morgen goed te organiseren.

Vele van ons zullen het niet snel vergeten: 25 mei 2018. De dag dat iedereen, die zijn data rondom persoonsgegevens niet op orde had, het bedrijf zou kunnen sluiten. Boetes tot € 20 miljoen of 4% van de jaaromzet. Maar inmiddels bijna één jaar na dato is de werkelijkheid net wat anders. Voorspelde doom scenario’s bleven uit. Is het dan allemaal met een sisser afgelopen? Was GDPR een hoax? Nee, zeker niet, dus een gewaarschuwd mens telt voor twee.

Tegenstrijdigheden in GDPR / AVG adviezen en werkelijkheid.

De hoog gespannen verwachting werd opgevolgd door een opluchting toen bleek dat het allemaal wel meeviel. We konden namelijk snel concluderen dat de overheden de boel rondom de wetgeving nog niet goed op orde hadden. Maar één ding is zeker, er komt een dag dat de autoriteiten er wel klaar voor zijn. Dus zorg ervoor dat je vandaag gebruikt, om je zaken rondom persoonsgegevens voor morgen goed te regelen. Het budget voor training en financiering van gegevensbescherming autoriteiten staat vast op bijna 2 miljoen. Dus het is nu misschien nog stil aan de overkant, maar dat betekent zeker niet dat er niets gebeurd achter de schermen. 

Voor wie geldt de GDPR / AVG nu eigenlijk?

Deze vraag is gelukkig vrij eenvoudig te beantwoorden. De GDPR / AVG geldt voor elk bedrijf of organisatie dat persoonsgegevens verwerkt. Daarmee is deze wet ook van invloed op jou en jouw bedrijf. Dus of jouw bedrijf of organisatie nu meer of minder dan 250 werknemers heeft, volgens GDPR / AGV moeten we allemaal compliant zijn.

Dit geldt dus voor bedrijven en organisaties die betaald of onbetaald goederen of diensten aanbieden, of die het gedrag monitoren van personen in de EU. Dus zelfs wereldwijde online bedrijven moeten de GDPR naleven om klanten in de EU te bedienen. Dat wil zeggen, met één kleine uitzondering: 

MKB-bedrijven met minder dan 250 werknemers hoeven hun gegevensverwerking activiteiten niet bij te houden. Tenzij de verwerking van persoonsgegevens:

  • een reguliere activiteit is;
  • een bedreiging vormt voor de rechten en vrijheden van personen;
  • gevoelige informatie of strafregisters bevat.

Wat is de standaard GDPR / AVG oplossing voor iedereen?

Ook deze vraag is eenvoudig te beantwoorden. Eén standaard GDPR / AVG oplossing, die voor elk bedrijf of organisatie passend is, bestaat niet. De oplossing is namelijk altijd een combinatie van de volgende variabelen:

1.     proces

2.     techniek

3.     mens

De generieke uitdaging van het GDPR / AVG vraagstuk.

En hiermee hebben we dan ook meteen die moeilijkheid van het GDPR / AVG vraagstuk te pakken. Om te voldoen aan de eisen die gesteld worden aan jou en jouw bedrijf of organisatie, alles intern aanhoudend goed te organiseren en dus compliant te zijn en te blijven, dien je niet alleen je ICT afdeling, maar het gehele bedrijf te overtuigen van de noodzaak rondom deze wet.

Wanneer heb je je data-zaken goed geregeld?

De overheid schrijft boetes uit. En hoe vervelend ook, deze kunnen ook jouw bedrijf of organisatie treffen. Maar wanneer dit aan de orde is zullen de autoriteiten zeker rekening houden met de volgende factoren:

  • de aard van de overtreding;
  • de ernst en de duur van het data-lek;
  • is er sprake van opzet of nalatigheid;
  • welke (preventieve) maatregelen zijn er genomen;
  • wat is er gedaan om de geleden schade te verminderen;
  • hoe bereidwillig is het bedrijf of organisatie om zaken alsnog goed te regelen;

Met andere woorden, als je werk hebt gemaakt van je algehele compliance, je procedure documenteert, systemen hebt geïmplementeerd, kun je (eventueel) de hoogte van de boete nuanceren.

Wat is nu wijsheid?

Jouw GDPR / AVG traject begint bij het inventariseren van alle data en de beoordeling of dit persoonsgegevens zijn. Dit doe je via de gegevensbescherming effectbeoordeling.

Wanneer je persoonsgegevens bewaard moet je de personen in kwestie hierover informeren. Hierbij vertel je ook:

  • wie je bent;
  • waarom je de gegevens bewaard;
  • hoe lang je ze bewaard;
  • en of eventuele derde partijen de gegevens ontvangen;

 Uiteraard breng je de personen in kwestie ook op de hoogte van:

  • hun rechten m.b.t. persoonsgegevens;
  • het recht op een ​​kopie van de gegevens;
  • het recht om een klacht in te dienen bij de lokale gegevensbescherming autoriteit;d
  • en de mogelijkheid om de toestemming op ieder gewenst moment in te trekken;

Zelf organiseren of uitbesteden?

Dit kun je natuurlijk allemaal zelf gaan organiseren. Van bewustwording tot proces, de documentatie en controle hiervan. Maar wil je het zekere voor het onzekere nemen, doe dan een beroep op de kennis en kunde van onze collega Cor Worms. Hij is een gecertificeerd Data Protection Officer (DPO). Dit scheelt je een hoop gedoe, zorgen en financiele stress, vooral wanneer het je even wat minder voor de GDPR / AVG wind gaat.

Heb je nog vragen n.a.v. deze blog?

Vul onderstaand formulier in of bel ons op 0184 – 615 615. Wij voorzien je graag van de benodigde aanvullende informatie.