Waarom de GDPR / AVG zo belangrijk is
De General Data Protection Regulation (GDPR), ook bekend als Algemene Verordening Gegevensbescherming (AVG), wordt vanaf 25 Mei 2018 effectief gehandhaafd in heel Europa. Officieel al bekrachtigd in April 2016, is de AVG van kracht voor alle bedrijven, zowel klein als groot en dus niet alleen voor bedrijven met meer dan 250 medewerkers zoals vaak gedacht wordt. De GDPR regelt de bescherming van persoonlijke data door het de status te geven van een fundamenteel (mensen)recht.
iTRACTION helpt zowel kleine als grote bedrijven met de complexe wetgeving van GDPR door middel van advies, implementatie en met externe functionarissen gegevensbescherming. Ons aanpak is zowel juridisch als vanuit de ICT praktijk. Want interpretatie van de complexe AVG verordening is één ding, de uitvoering is praktisch waarbij naast gedegen kennis van de privacywetgeving diepgaand inzicht in ICT processen nodig is.
De GDPR is het resultaat van bijna drie jaar van intensieve bijeenkomsten van EU parlementsleden, meer dan 4000 amendementen en eindeloze vergaderingen met lobbyisten, totdat uiteindelijk in April 2016 de Raad van Europese Ministers de Regulation aanneemt. Europarlementariër Jan Philipp Albrecht samen met Ralf Bendrath en Viviane Reding zijn de initiatiefnemers. In 2015 verscheen over dit lange totstandkomingsproces de film Democracy van regisseur David Bernet. Een fascinerende inkijk in het democratisch proces bij de EU en de passie van o.a Albrecht en Reding.
Download ons e-boek ‘3 Grootste Valkuilen in de Cloud en de GDPR’
Waar beginnen?
Wie de 99 artikelen en 173 recitals van GDPR Regulation 2016/679 bestudeert, ziet waar het democratische proces van inspraak toe geleid heeft. Complexe, vrij vage bewoordingen en vrijwel nergens concrete handvatten. Alleen de boetes zijn glashelder: maximaal EUR 20M of 4% van de wereldwijde omzet, afhankelijk welke van de twee het hoogste is. Via de zogeheten Working Party richtlijnen is en wordt gepoogd om meer tastbare informatie te verstrekken maar dat lukt mondjesmaat. Een verwijzing naar bijvoorbeeld een (iets) concretere ISO of NEN norm is zeldzaam.
Dus waar te beginnen? We kunnen vier stappen onderscheiden:
- Ontdekken (inventariseren)
- Beheren
- Beschermen
- Rapporteren
Elk project begint met het opstellen van het Verwerkingsregister. In dit bestand, bijvoorbeeld in Excel, wordt onder meer vastgelegd:
- welke datastromen er zijn
- de categorieën van betrokkenen
- de categorieën van persoonsgegevens (b.v. adres, email, enz)
- wie de ontvangers zijn
- wat de grondslag is van elke verwerking
- wat het doeleinde is van elke verwerking
- het bewaartermijn per verwerking
Vervolgens ga je op basis van het Verwerkingsregister de gegevensstromen analyseren. Als het nodig is moeten de risico’s van het verwerken van de persoonlijke data d.m.v. een DPIA (Data Protection Impact Assessment, ook wel PIA genoemd) worden vastgesteld. Essentieel aan de GDPR / AVG is dat elk bedrijf moet kunnen aantonen dat ze accountable en compliant zijn met de GDPR. Ze zijn verplicht hun accountability aan te tonen zodra de toezichthouder (de AP, AutoriteitPersoonsgegevens) daarom vraagt. Concreet betekent dit bijvoorbeeld dat als er klachten over een bedrijf bij de AP binnenkomen de AP om bijvoorbeeld het verwerkingsregister zullen vragen. Het verwerkingsregister is een van de basis documenten van de GDPR en is de plek waar een bedrijf onder meer vastlegt wat zij aan persoonlijke data verwerkt.
Interesse in hoe wij jullie bedrijf kunnen helpen om GDPR compliant te worden? Wil je beginnen met het verwerkingsregister op te stellen? Of twijfel je of een PIA assessment voor jullie bedrijf nodig is? Bel 036 5367 888 of neem contact op.
Download het informatieve e-boek de “3 Grootste Valkuilen in de Cloud en de GDPR” klik hier