De Algemene verordening gegevensbescherming (AVG) zadelt organisaties met flink wat werk op. Zo kan het opstellen van een verwerkingsregister een aardige kluif zijn. Gelukkig staat u er niet alleen voor. Handige hulpmiddelen zijn inmiddels breed beschikbaar. Een overzicht.
Nog een paar weken, en dan vervangt de veelbesproken AVG de oude Wet bescherming persoonsgegevens (Wbp). Op 25 mei moet u in ieder geval kunnen laten zien wat uw organisatie doet om de persoonsgegevens en privacy van bijvoorbeeld klanten en medewerkers goed te beschermen.
Organisaties die geen goed ‘privacyverhaal’ hebben, kunnen rekenen op de aandacht van de Autoriteit Persoonsgegevens (AP). Bij een bewuste overtreding van de General Data Protection Regulation (GDPR), zoals de wet in het Engels heet, kan een boete volgen.
Worstelt u nog met bijvoorbeeld het opstellen van een verwerkingsregister? Of bent u nog niet bekend met de rechten en de plichten die de nieuwe privacywet met zich meebrengt? Dan kan het zeker geen kwaad om deze bronnen te raadplegen:
1. Autoriteit Persoonsgegevens
De AP is er niet alleen om toe te zien op naleving van de AVG en boetes uit te delen. Misschien nog wel belangrijker is de rol die de privacywaakhond heeft als het gaat om voorlichting en ondersteuning bij de interpretatie en uitvoering van de regelgeving.
De AP vult zijn ‘hulpvaardig toezicht’ in met diverse hulpmiddelen. Voorbeelden daarvan zijn een ‘AVG 10-stappenplan’ en een beknopte grafische weergave, de ‘AVG in een notendop’. Als onderdeel van de campagne ‘Privacy gaat iedereen wat aan’ introduceerde de AP de ‘AVG-regelhulp’. Na het doorlopen van tien stappen krijgt u een to-dolijst voorgeschoteld waarin staat wat u in ieder geval nog moet doen om aan de AVG te voldoen. Zeker voor bedrijven die al bekend zijn met de Europese privacywet en de terminologie biedt de AP met deze zelftest een handig hulpmiddel.
2. Buitenlandse toezichthouders
In alle EU-lidstaten is er een nationale toezichthouder die een vinger aan de pols houdt als het gaat om de naleving van de AVG en adviseert. Het kan zeker geen kwaad om te kijken over welke hulpmiddelen de privacywaakhonden in de andere EU-lidstaten beschikken.
Op de website van Belgische Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL) staat bijvoorbeeld een model voor het bijhouden van een register van gegevensverwerkingen. Onder de AVG zijn organisaties in veel gevallen verplicht zo’n register bij te houden. Verwerkt uw organisatie bijvoorbeeld gegevens van medewerkers, dan is de registerplicht van toepassing.
De Franse toezichthouder CNIL biedt hulp met een handige opensourcetool voor het uitvoeren van Data Protection Impact Assessments, wat verplicht is bij gegevensverwerkingen met een hoog privacyrisico voor de betrokkenen. Met een DPIA brengt u in kaart wat de risico’s zijn van een gegevensverwerking. Van de Franse tool is ook een Engelstalige versie beschikbaar.
3. Ministerie van Justitie en Veiligheid
Het ministerie van Justitie en Veiligheid introduceerde begin dit jaar een 98 pagina’s tellende handleiding voor organisaties die zich voorbereiden op de AVG. Het document geeft in de vorm van vraag en antwoord een helder overzicht van de privacyregels die per 25 mei gelden.
Daarnaast bevat de publicatie enkele nuttige checklists en stroomschema’s. In kaders worden belangrijke en misschien minder bekende punten nog eens extra onder de aandacht gebracht. Zo drukken de auteurs de lezer op het hart dat een verwerkingsregister niet de persoonsgegevens zelf mag bevatten en dat iedere doorgifte van persoonsgegevens ook een verwerking is.
4. Vereniging Nederlandse Gemeenten
Voor gemeenten brengt de AVG nogal wat veranderingen met zich mee. Zo zijn de overheidsinstanties onder de nieuwe privacywet verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Onder de Wbp geldt die verplichting nu nog niet.
De Vereniging Nederlandse Gemeenten (VNG) en VNG Realisatie (voorheen KING) hebben op hun websites een groot aantal hulpmiddelen beschikbaar gesteld voor gemeenten die zich voorbereiden op de AVG. Zo treffen we een ‘Handreiking register van gegevensverwerkingen’ aan. De informatie in deze handreiking is zeker ook nuttig voor organisaties buiten de overheidssector. Daarnaast bieden VNG en VNG Realisatie een AVG-stappenplan, een model voor het opstellen van verwerkersovereenkomsten en een model voor het opstellen van een privacyreglement.
5. Uw securitydienstenleverancier
Uiteraard is het ook de taak van uw securitydienstenleverancier om u te ondersteunen bij uw voorbereidingen op de AVG. Zo informeren KPN en DearBytes u tijdens evenementen zoals webinars regelmatig over de nieuwe privacywetgeving. Ook heeft KPN een uitgebreide whitepaper samengesteld over dit onderwerp.
Het is wel goed om voor ogen te houden dat alle genoemde tools slechts hulpmiddelen zijn. Voor daadwerkelijke compliance met de AVG is vaak meer kennis en kunde nodig. KPN helpt u graag de eindsprint richting compliance met de AVG in te zetten.
Erik Remmelzwaal
Erik is Managing Director Security Services bij KPN. Hij is zijn carrière in 2001 begonnen bij DearBytes, waar hij ervaring heeft opgedaan als developer, securityconsultant en incident responder. In 2011 klom hij op tot CEO van DearBytes. In deze positie heeft hij DearBytes laten groeien tot een van de grootste Managed Security Service Providers van Nederland. In 2017 werd DearBytes overgenomen door KPN en werd Remmelzwaal als Director Products aangesteld. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.
- Auteur: Erik RemmelzwaalWil je meer weten over hoe KPN je kunt helpen met security-vraagstukken?
Neem contact met ons op
