De AVG stap voor stap implementeren – deel 2

Publicatiedatum: 17 april 2018 12:00
Ziet u als een berg op tegen de implementatie van de AVG? Niet nodig! De Mount Everest beklimt u ook niet in één dag! Ons advies: houd de stappen klein en praktisch en creëer overzicht.  In dit artikel leest u hoe u op een praktische manier met de AVG aan de slag kunt.

Bezint eer ge begint

Zoals in ieder project, is het ook bij de implementatie van de AVG belangrijk om het projectresultaat specifiek, meetbaar, acceptabel, realistisch en tijdgebonden te houden. Bepaal daarom vooraf eerst wat u minimaal op 25 mei 2018 geregeld wilt hebben en bedenk wie of wat u daarvoor nodig heeft. Zorg voor commitment van het management op uw plan van aanpak. Het management moet er niet alleen voor zorgen dat de juiste mensen en middelen beschikbaar zijn, maar moet ook het belang van de bescherming van privacy uitdragen naar de rest van de organisatie. Heeft u het project en de projectorganisatie op orde dan is de volgende stap het uitwerken van de gewenste situatie.

Waar moet ik aan voldoen?

Uitgangspunt is natuurlijk een goed geïmplementeerde AVG, waarbij uw organisatie voldoet aan de wetgeving. Als tussenstap heeft de VNG in een brief op 8 februari aan haar leden aangegeven dat er zes maatregelen zijn waaraan u minimaal moet voldoen. U kunt dit als voorlopige gewenste situatie aanhouden. Het gaat om de volgende maatregelen:

  1. het beschikken over een register van verwerkingsactiviteiten
  2. het kunnen uitvoeren van een Data Protection Impact Assessment (DPIA) voor gegevensverwerkingen met een hoog privacyrisico
  3. het beschikken over een register van datalekken die zijn opgetreden
  4. het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer daarvoor toestemming nodig is
  5. het aangesteld hebben van een Functionaris gegevensbescherming en aangemeld hebben bij de Autoriteit persoonsgegevens
  6. het beschikken over een procedure voor inzage in persoonsgegevens

Waar sta ik nu?

Is uw (voorlopige) gewenste situatie helder, dan bepaalt u uw huidige situatie. Vragen die in deze fase aan de orde komen zijn: Welke stappen hebben we al gezet? Wat moeten we nog verbeteren/implementeren? Waar liggen mogelijke risico’s? Aan het einde van deze fase heeft u een duidelijk beeld van wat er nog moet gebeuren (GAP-analyse).

U bepaalt uw huidige situatie door:

  1. het uitvoeren van een DPIA op organisatieniveau
  2. het opstellen van een verwerkersregister

U gaat in deze fase in gesprek met diverse stakeholders uit de organisatie, zoals bijvoorbeeld leidinggevenden, managers en proceseigenaren. Naast (nog meer) bewustwording in de organisatie, leveren de gesprekken inzicht in de verwerkingen van persoonsgegevens in de processen. Dit geeft u inzicht in de wijze waarop de organisatie nu met persoonsgegevens omgaat. Eventuele risico’s en verbeteringen worden op deze wijze gesignaleerd en – indien nodig – kunt u direct passende maatregelen treffen.

Laaghangend (GAP) fruit

Naast het treffen van zojuist genoemde maatregelen, kunt u alvast uw aandacht richten op de volgende zaken die u zeker moet regelen:

  1. het opstellen of herzien van de privacy statement
  2. het opstellen of herzien van het privacy beleid
  3. het opstellen of herzien van de procedure voor de rechten van betrokkenen (o.a. het recht op informatie, inzage en vergetelheid)
  4. het opstellen of herzien van een register voor datalekken

Op de site van VNG realisatie en de IBD vindt u ook veel praktische handreikingen en formats waarmee u direct aan de slag kunt!


Terug naar


Missie van Thorbecke

Door daadkracht én in samenwerking
publieke organisaties verder brengen



Thorbecke Nieuwsbrief


Contact

088-8883000
info@thorbecke.nl