Op 25 mei 2018 moet uw organisatie “AVG-proof” zijn, of anders gezegd: u moet dan aan nog meer eisen op het gebied van privacy voldoen dan nu het geval. Iedere onderneming die persoonsgegevens verzamelt of anderszins verwerkt moet vanaf dat moment aantoonbaar voldoen aan de (Europese) Algemene Verordening Gegevensbescherming.

Afwachten?

Afwachten en we zien wel, gaat niet werken. Nu al kunnen bij schending van de huidige privacyregels hoge boetes worden opgelegd tot maximaal €820.000,- of 10% van de jaaromzet, maar vanaf mei 2018 kan dat oplopen tot maar liefst €20.000.000,- of 4% van de wereldwijde jaaromzet. Wellicht denkt u dat het niet zo’n vaart zal lopen. Echter als u niets doet, is het gevaar op een boete wel degelijk reëel. Maar los van de boetes loopt u ook andere risico’s, denk daarbij aan bestuurdersaansprakelijkheid, bestuurlijke dwangmaatregelen, een verbod op het nog langer verwerken van persoonsgegevens, negatieve publiciteit en ontevreden klanten en stakeholders.

Een woud aan regels

Er moet aan flink wat voorwaarden voldaan zijn, ook door het midden – en kleinbedrijf. Denk aan: een passend beveiligingsniveau van de IT-systemen, waarbij meestal de verplichting bestaat gegevens te pseudonimiseren of anderszins te versleutelen; het faciliteren van de rechten van de data subjecten (degenen wier persoonsgegevens worden verwerkt) op onder meer inzage en rectificatie en het recht op dataportabiliteit; de plicht om gegevens te wissen van data subjecten; verplichtingen ten aanzien van de inrichting van organisatie en systemen opdat de gevraagde informatie snel en adequaat verstrekt kan worden; adequate verwerkingsovereenkomsten met alle verwerkers; uitsluitend gebruik maken van verwerkers die voldoende garanties bieden ten aanzien van passende technische en organisatorische maatregelen; de administratie van alle persoonsgegevensverwerkingen, met bijbehorende doelomschrijving, verwerkingsgrondslagen en bewaartermijnen; het kunnen aantonen dat toestemming tot verwerking is verleend – per te onderscheiden verwerkingsdoel – wanneer de gegevens worden verwerkt op basis van toestemming van de data subjecten; de verplichting alles in dit kader schriftelijk gedocumenteerd te hebben en aan een toezichthouder inzichtelijk te kunnen maken wat het beleid is en waarom bepaalde keuzes zijn gemaakt; uitgebreide informatieplichten richting de datasubjecten over de voorgenomen verwerkingshandelingen die tijdig dienen plaats te vinden in een eenvoudige leesbare en toegankelijke vorm en de verplichting tot het melden van datalekken. Maar zo zijn er nog meer plichten en voorwaarden.

Daarnaast is het in veel gevallen verplicht om een officer (“DPO” of Data Protection Officer) aan te stellen: dit geldt voor overheidsorganen, voor organisaties waarvan de kernactiviteit bestaat uit het regelmatig en systematisch monitoren van data subjecten en organisaties die op grote schaal verwerken van bijzondere persoonsgegevens. Vrijwillige aanstelling van een DPO is ook mogelijk maar ook dan dient voldaan te zijn aan de wettelijke vereisten daarvoor.

Het is mogelijk. Onze aanpak

Het is van groot belang dat de directie en andere belangrijke beslissers in een onderneming bewust worden dat er wat moet gebeuren (1. Awareness). De verplichtingen omzetten in een positieve doelen. Een adequaat privacy-beleid is meestal positief voor de reputatie en wordt gewaardeerd door alle stakeholders. Vervolgens alle bedrijfsprocessen in kaart brengen waarbij persoonsgegevens worden verwerkt (2. Beschrijven van alle bedrijfsprocessen). Daar zijn allerlei hulpmiddelen voor. Belangrijk is dat daar de juiste personen in de onderneming bij betrokken worden. Wanneer de diverse processen duidelijk in beeld zijn gebracht, kan vervolgens worden beoordeeld welke maatregelen (echt) nodig zijn (3. Maatregelen). Daarna dienen deze maatregelen (voor mei 2018) geïmplementeerd te worden (4. Implementatie) en vervolgens, als dat gelukt is, dienen de geïmplementeerde maatregelen steeds gemonitord te worden (5. Monitoring).

Voor specifieke onderwerpen als datalekken is het verstandig draaiboeken klaar te hebben, zodat snel (binnen de voorgeschreven termijnen) kan worden gehandeld en intern en extern gecommuniceerd kan worden met en door een al van te voren geformeerd team. Ook over de inrichting en bemensing van de DPO-functie en het vaststellen van voor de onderneming passende procedures, dient goed te worden nagedacht. Waaronder het trainen (bewust maken) van het personeel.

Oplossingen

Wij snappen dat dit overweldigend kan zijn. Wij helpen u graag het bos weer te zien. Door gestructureerd te werk te gaan is veel mogelijk in de relatief korte tijd die nog rest tot mei volgend jaar. Om u daarbij te helpen, werken wij samen met Richard Kranendonk van Rent-a-CIO, gespecialiseerd in IT governance en projectmanagement en Paul Domburg, gespecialiseerd in Cybersecurity. Met de multidisciplinaire oplossing ‘Rent-a-DPO’, bieden wij u een multidisciplinaire integrale oplossing aan waarin de benodigde expertises op het gebied van Privacy, Cybersecurity, Governance en projectmanagement zijn gebundeld, om te kunnen voldoen aan de AVG. Daarbij bieden we u verschillende producten en diensten aan, specifiek gericht op de AVG. Door de modulaire opbouw kunt u gemakkelijk een keuze maken wat u zelf wilt doen, en wat u samen met ons wilt doen, tegen voorspelbare kosten.

Voor een vrijblijvende afspraak, neem contact op met Irvette Tempelman, Bob Cordemeyer of Christiaan Jeekel, te bereiken op +31 (0)23 534 01 00, of via email: info@cslaw.nl. Meer over deze multidisciplinaire producten en diensten kunt u lezen op de site van Rent-a-DPO.