AVG Implementatie: Meer dan alleen een privacyverklaring…

Wij verklappen een paar handige tips bij AVG implementatie voor bedrijven

Organisaties maken nogal eens fouten als het gaat om AVG implementatie. Er heersen bepaalde misvattingen, waar we in deze blog op ingaan. Ook bespreken we verschillende implementatiepunten, gaan we in grondslagen voor rechtmatige gegevensverwerking en bespreken we belangen bij het voldoen aan de AVG. Direct vragen over dit onderwerp? Neem dan contact op met ons zodat we een vrijblijvende afspraak kunnen inplannen.

 

De misvattingen bij het implementeren van de AVG

Met grote regelmaat worden we bij XY Legal Solutions benaderd met vragen over de Algemene Verordening Gegevensbescherming (AVG, of in het Engels: GDPR). Het valt ons dan op dat er nog best wat misvattingen heersen. Zo denken sommige organisaties dat de klus geklaard is met een simpele privacyverklaring. Dit is niet het geval: er komt veel meer bij kijken (zoals je in dit blogartikel zal lezen).

Ook gaat men er nogal eens vanuit dat die ene privacyverklaring een eenvoudig documentje is: “op Google vond ik een generator waar ik de verklaring zelf kon opstellen voor € 50,-! Waarom zou ik dat niet gewoon doen?” of “Ik kopieer er wel eentje van een andere website, dan heb ik het maar staan…”Allebei niet handig: een privacyverklaring hoort op maat opgesteld te worden voor de betreffende organisatie. Daarnaast komt er überhaupt veel meer bij kijken.

Nu lijken deze misvattingen vaak ook het product te zijn van (lichte) frustratie. Op 25 mei 2018 was die Europese wet daar immers ineens, en ineens moeten er kosten gemaakt worden waar je misschien wel niet op zat (of zit) te wachten. Heel begrijpelijk, maar los van het voldoen aan die wettelijke plicht zijn er ook genoeg andere redenen om te willen voldoen aan de AVG (denk aan ethisch handelen en ‘de uitstraling van jouw organisatie’, zoals verderop ook besproken wordt).

 

Een aantal zaken op een rij bij voldoen aan de AVG

Als gezegd heerst de opvatting (misvatting) nogal eens dat een enkele privacyverklaring voldoende is om ‘AVG Compliant’ te zijn. Nu willen wij niet wederom een misvatting scheppen en impliceren dat voldoen aan de AVG geregeld is met het nalopen van een checklist (het is immers een continu proces). Maar voor de handigheid noemen we hieronder een aantal zaken waar je aan moet denken, náást die privacyverklaring (niet limitatief):

  • Cookieverklaring (AVG, in samenhang met de Telecommunicatiewet 11.7A ofwel de Cookiewet);
  • Verwerkingsregisters;
  • Register voor datalekken;
  • Eventueel een Data Protection Impact Assessment (DPIA) – een soort risicoanalyse bij verwerking op grote schaal, of bijvoorbeeld bij risicovolle verwerking van persoonsgegevens;
  • Leidraad voor een Functionaris Gegevensbescherming indien die is ingesteld;
  • Interne privacyverklaring;
  • Verwerkersovereenkomsten;
  • Protocol voor datalekken;
  • Voorlichtingen aan medewerkers;
  • Voorlichtingen aan klanten;
  • En meer…

Stel je nu voor, je gaat bezig met de bovenstaande lijst. Is het dan genoeg om ‘beschrijvend’ te werk te gaan? Nee: het enkele beschrijven van de huidige manier van omgang met persoonsgegevens binnen de organisatie is nog steeds niet voldoende. Er moet sprake zijn van rechtmatigheid van de verwerking van persoonsgegevens…

 

Gegevensverwerking volgens een rechtmatige grondslag: aan de hand van een ‘grappig’ voorbeeld

Artikel 6 lid 1 van de AVG noemt voorwaarden voor rechtmatige verwerking: er is toestemming van de betrokkene (expliciet), de verwerking is noodzakelijk (bijvoorbeeld voor het voldoen aan een overeenkomst), verwerking dient te berusten op een wettelijke plicht (denk aan de plichten met betrekking tot boekhouding),  verwerking is noodzakelijk voor vervulling van een taak van algemeen belang (in het kader van uitoefening van openbaar gezag bijvoorbeeld) of de verwerking is noodzakelijk voor het behartigen van gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde (wanneer deze belangen zwaarder wegen dan de fundamentele grondrechten van de betrokkene).

Het is dus niet alleen een kwestie van het beschrijven van hoe jouw organisatie omgaat met persoonsgegevens: de gegevensverwerking moet rechtmatig zijn op grond van de AVG. Laten we hierbij een ietwat extreem voorbeeld nemen:

Piet gaat naar de feestwinkel omdat het bijna carnaval is. Hij ziet daar een mooie paarse pruik die perfect past bij zijn outfit. Hij loopt met de pruik naar de kassa om deze af te rekenen. Vlak voor het afrekenen vraagt de kassière aan Piet of hij nog even inzicht zou kunnen geven in de medische gegevens van al zijn familieleden. Piet fronst zijn wenkbrauwen en herinnert zich een AVG-training die hij op het werk heeft gehad. Zo onderlegd als hij door die training is, vraagt hij de kassière een rechtmatige grondslag te geven voor deze vorm van gegevensverwerking. “Oh, gewoon”, zegt de kassière, “dat vind ik erg interessant! Ik verzamel deze gegevens zodat ik een blogwebsite kan bijhouden waarop ik mensen informeer over wie precies welke aandoening heeft.” Vanzelfsprekend weigert Piet deze gegevens te verstrekken.

Het bovenstaande voorbeeld laat zien dat het inroepen van grondslagen voor gegevensverwerking niet zomaar kan: de verwerking moet rechtmatig zijn (en op zijn minst logisch). Het verwerken van ten naam gestelde facturen voor het doen van de belastingaangifte is daarmee weer een flinke tegenhanger: verwerking is nu noodzakelijk op grond van een wettelijke plicht.

Met bovenstaande voorbeelden willen we aangeven dat het belangrijk is om er niet zomaar vanuit te gaan dat de manieren van gegevensverwerking binnen jouw organisatie allemaal oké zijn.

 

Vragen om te stellen over de organisatie bij het implementeren van de AVG

Ga je bezig met AVG implementatie? Zorg dan dat je alvast wat voorbereidend werk verricht door vragen te stellen over de gegevensverwerking die plaatsvindt binnen de organisatie. Een aantal handige vragen (wederom absoluut niet limitatief):

  • Lijken de redenen (grondslagen) voor gegevensverwerking binnen de organisatie logisch?
  • Hebben medewerkers vanaf een eigen computer toegang tot beheeraccounts voor/van klanten? En hoe gaat dit wanneer een medewerker uit dienst treedt?
  • Komt het voor dat medewerkers na uitdiensttreding nog toegang hebben tot ‘de werkmail’?
  • Wordt er gewerkt met een laptop van de zaak, en zo ja; kunnen medewerkers terecht in een beveiligde omgeving?
  • Is er al sprake geweest van AVG voorlichting voor medewerkers?
  • Wat wordt er gedaan wanneer er sprake is geweest van een datalek?

 

Voldoen aan de AVG belangrijk om verschillende redenen

Het voldoen aan de AVG-wetgeving is om verschillende redenen belangrijk. Natuurlijk is het zo dat de Autoriteit Persoonsgegevens stevige sanctiebevoegdheden heeft. Boetes kunnen oplopen tot in de miljoenen Euro’s. Dit is absoluut een sterke reden om te voldoen aan de AVG: dergelijke risico’s wil je voorkomen. Toch zijn we bij XY Legal Solutions van mening dat dit niet de meest belangrijke reden is. Het voldoen aan de AVG heeft ook sterk te maken met de eigen verantwoordelijkheid; met ethisch handelen. Als organisatie moet je juist willen voldoen aan de AVG omdat klanten en andere betrokkenen hierbij gebaat zijn. Je geeft het juiste signaal af en dit wekt vanzelf weer vertrouwen.

Tijdens verschillende AVG trajecten bij organisaties, evenals bij ISO 27001 werkzaamheden, is ons meermaals opgevallen hoe prettig deze AVG conforme werkwijze wordt ervaren. Betrouwbaarheid en professionaliteit worden uitgestraald en dit levert uiteindelijk veel voordelen op voor een organisatie (grotere deals worden bijvoorbeeld makkelijker gesloten). Daarmee is het serieus nemen van AVG implementatie niet alleen een ethisch juiste keuze: het is ook een waardevolle investering.

 

De werkwijze van XY Legal Solutions bij AVG implementatie voor bedrijven

Bij XY Legal Solutions ondersteunen we uiteenlopende organisaties met het op de juiste wijze implementeren van de AVG regels. Hierbij volgen we een efficiënte werkwijze:

Stap 1: De 0-meting. Hoe staat het er op dit moment voor? Welke documenten zijn er aanwezig; welke delen van de AVG zijn al dan niet correct geïmplementeerd? Wat is er bekend over de AVG en hoe wordt deze nageleefd binnen de organisatie?

Stap 2: Analyse en planning. Nadat we de nodige informatie hebben van de 0-meting, kunnen we bepalen wat er nodig is voor de organisatie. We plannen de werkzaamheden op een logische manier in, en bereiden toepasselijke vragen voor.

Stap 3: De vragenlijsten en consults. We delen de vragenlijsten, en plannen consults in met de verantwoordelijke personen. Op basis van de ontvangen antwoorden kunnen we aan de slag met stap 4.

Stap 4: Advisering en uitvoering. We adviseren over verbeterpunten, en stellen de benodigde documenten op de correcte manier op voor de organisatie.

Stap 5: We ondersteunen bij het implementeren van de nieuwe AVG-werkwijze. Vervolgens komen we na 6 maanden terug, waarbij we kijken of alles goed is gegaan. Daarna plannen we jaarlijks een afspraak in om alle zaken up-to-date te houden.

Nieuwsgierig naar de mogelijkheden bij AVG implementatie voor jouw organisatie? Een AVG-offerte op maat volgt bij ons altijd na een kosteloos en vrijblijvend oriënterend gesprek. Plan dit gesprek in door het contactformulier in te vullen, of bel direct naar 030 – 227 03 86.

Neem contact met ons op