In 10 stappen voorbereid op de AVG

Vergelijkbare documenten
De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Privacy Maturity Scan (PMS)

checklist in 10 stappen voorbereid op de AVG. human forward.

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Workshop AVG voor het bestuur van Vereniging Yogadocenten Nederland. Cees Boon en Berdjan Klatter

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Algemene Verordening Gegevensbescherming (AVG)

Auteurs: Edwin Adams Tangram

De Algemene Verordening Gegevensverwerking. Jurgen van der Baan

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Privacy wetgeving: Wat verandert er in 2018?

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

De grootste veranderingen in hoofdlijnen

Plan

In 15 stappen op weg naar 2018

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

WHITEPAPER PRAKTISCHE HANDREIKING VOOR DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

staat is om de AVG na te komen.

Handvatten bij de implementatie van de AVG

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Algemene Verordening Gegevensbescherming (AVG ) General Data Protection Regulation (GDPR)

AVG EN DE IMPACT OP UW BUSINESS

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Stappenplan naar GDPR compliance

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Nieuwe privacy verordening raakt ook de pensioensector

Algemene Verordening Gegevensbescherming

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Stappenplan naar GDPR compliance

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Whitepaper BPdelivery mei 2017 NOG 1 JAAR, BENT U KLAAR? Whitepaper - GDPR - mei 2017 BPdelivery B.V. Nederland - Pagina 1

Algemene Verordening Gegevensbescherming

In 10 stappen voorbereid op de nieuwe privacywet (AVG)

XpertHR College. Welkom bij het XpertHR College, met Steffie Schepers

Persoonsgegevens van een overleden persoon vallen niet onder de AVG

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

De AVG in vogelvlucht Wat moeten organisaties doen?

De AVG in vogelvlucht Wat moeten organisaties doen?

Functieprofiel Functionaris Gegevensbescherming

Data Protection Officer

Cursus privacyrecht Jeroen Naves 7 september 2017

Privacy in de afvalbranche

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

De Clercq Advocaten Notariaat

Algemene verordening gegevensbescherming (AVG)

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Gegevensverzameling en gegevensverwerking

NVIA Data Modellen Privacy. PIM POPPE September 2017

Privacy ondersteuning VNG/KING/IBD

Algemene Verordening Gegevensverwerking ( GDPR )

Begrippenlijst AVG / Wetgeving Elektronische Verwerking / NEN7510

Transcriptie:

In 10 stappen voorbereid op de AVG

10 STAPPEN TER VOORBEREIDING OP DE ALGEMENE VERORDENING GEGEVENS BESCHERMING (AVG) Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Om u te helpen met het naleven van deze wetgeving heeft de Autoriteit Persoonsgegevens (AP) een stappenplan ontwikkeld. Guardian360 heeft dit stappenplan voor u doorgenomen en er een aantal concrete aanbevelingen aan toegevoegd. 1 Bewustwording Het is belangrijk de medewerkers binnen uw organisatie bewust te maken van de nieuwe privacy regels die geïntroduceerd worden in de nieuwe AVG. Het aanscherpen en veranderen van menselijk gedrag kost tijd. Hierom is het belangrijk om hier op tijd mee te beginnen. Naast dat de AP instrumenten aan biedt om u te helpen met het naleven van de AVG, zijn er een aantal andere activiteiten die u kunt ontplooien om uw medewerkers bewuster te maken omtrent informatiebeveiliging. Zo biedt Guardian360 met haar Phishing as a Service dienst u ondersteuning op het gebied van informatiebeveiliging bewustzijn van uw medewerkers. Door continu te testen of uw organisatie vatbaar is voor een phishingaanval, kunt u uw medewerkers er ook doorlopend van doordringen dat zij alert zijn. Hierdoor verlaagt u de kans op een geslaagde phishingaanvol fors. Daarnaast kunt u aan uw auditor aantonen dat u uw medewerkers periodiek waarschuwt voor de gevaren van een phisingcampagne. 2 Rechten van de betrokkenen Betrokkenen, waarvan u persoonsgegevens verwerkt, krijgen meer en verbeterde rechten onder de AVG. Zorg er dus voor dat deze betrokkenen hun recht goed kunnen uitoefenen. Ook worden er nieuwe rechten ingevoerd. Bijvoorbeeld het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen. Ten slotte, kunnen betrokkenen klachten indienen over uw manier van handelen omtrent hun persoonsgegevens. 3 Overzicht verwerkingen Belangrijk is om uw gegevensverwerkingen in kaart te brengen. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. U moet namelijk kunnen voldoen aan de documentatieplicht. Dit houdt in dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt of als betrokken dit opvragen. Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen? 4 Privacy impact assessment (PIA) Onder de AVG kunt u verplicht zijn een zogeheten privacy impact assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico s te verkleinen. Dit moet u doen als het een hoog privacyrisico met zich meebrengt. Een hoog privacyrisico is in iedergeval zo als een organisatie: systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling; op grote schaal bijzondere persoonsgegevens verwerkt; op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht). Op voorhand kunt u alvast een inschatting maken of u PIA s moet gaan gebruiken, en hierop anticiperen. Bron: In 10 stappen voorbereid op de AVG- Autoriteit Persoonsgegevens 2

5 Privacy by design & privacy by default Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Door continu scanning en monitoring van uw IT-omgeving kunt u persoonsgegevens en andere belangrijke data goed beschermen Doormiddel van 8 scanners scant Guardian360 uw IT-omgeving op kwetsbaarheden, zwakke wachtwoorden en andere configuratiefouten. Deze worden vervolgens in begrijpelijke taal in een dashboard gepresenteerd, zodat ze snel opgelost kunnen worden en een datalek voorkomen kan worden. Met de Guardian360 diensten kunt u daarnaast met vertrouwen aan uw auditor aantonen dat u in control bent. Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. 6 Functionaris voor de gegevensbescherming Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Voor overheidsinstanties en publieke organisaties is het verplicht om een FG aan te stellen, Proactive to prevent breach rather than just to react to it. Valuing privacy is the default setting Embed privacy into design Full lifecycle protection Taking a usercentric approach Avoid false dichotomies, like privacy vs. revenue Be transparent with users Ongeacht het type gegevens dat ze bewerken. Ten tweede geldt de verplichting om een FG aan te stellen voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen. Het kan hierbij gaan om bijvoorbeeld profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid via wearables. Ten derde zijn organisaties verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. U kunt dit controleren in de het document: Guidelines on Data Protection Officers, gepubliceerd door de Autoriteit Persoonsgegevens. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen. 7 Meldplicht datalekken Verschillend aan de AVG ten op zichten van de huidige meldplicht data lekken is dat de meldplicht datalekken zich vooral focust op de strengere eisen met betrekking tot uw eigen registratie van datalekken. Vooral de datalekken die zich niet binnen de organisatie hebben voorgedaan. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken. Guardian360 heeft hiervoor een Hacker Alert ontwikkeld, hiermee worden inbreuken op IT-systemen gesignaleerd. Uw organisatie kan hier snel op acteren en eventuele schade voorkomen. Ook kunt u op deze manier een eventuele inbreuk op een correcte wijze melden. 3

8 Bewerkersovereenkomsten Controleer of de door u uitbesteedde gegevensbewerking voldoen aan de vereisten in de AVG. U moet hierbij letten op al eerder afgesloten contracten met uw bewerker, het is raadzaam om te controleren of deze contracten ook voldoen aan de nieuwe wetgeving. Zorg ervoor dat u tijdig eventuele wijzigen doorvoert. Informatie over de vereisten van de AVG zijn te vinden op de website van de Autoriteit Persoonsgegevens. 9 Leidende toezichthouder Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt. De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is. Om u wat extra uitleg te verschaffen over deze toezichthouders heeft de Autoriteit Persoonsgegevens Guidelines for identifying a controller or processor s lead supervisory autority gepubliceerd. Deze guidelines geven uitleg over het bepalen van de leidende toezichthouder en over de toepassing van de onestopshopregel. De Guardian360 rapportages worden standaard in de Nederlandse en in de Engelse taal opgeleverd, u kunt dus ook eenvoudig over de grens aantonen dat u uw uiterste best doet om gegevens veilig te houden. 10 Toestemming Uw gegevensverwerking kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. Guardian360 kan u helpen! Is het voor u nog niet duidelijk hoe u zich kunt voorbereiden op de komende AVG? Of wilt u meer informatie over de oplossingen rondom dit onderwerp? Mogelijk kan een handboek privacy u verder op weg helpen. Het handboek dient als naslagwerk en vertaalt privicywet- en regelgeving naar eenvoudige procedures, best practices en toelichtingen. Wilt u dat wij contact met u opnemen? Neem dan gerust contact met ons op zodat wij u kunnen koppelen aan een van onze partners die u kunnen helpen met uw vragen. 4

Guardian360 Schouwburgplein 30-34 3012 CL Rotterdam Postbus 2655 3000 CR Rotterdam +31(0)10-710 44 01 Guardian360.nl info@guardian360.nl Guardian360 bv @Guardian360NL

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback