Loading...

De AVG, de nieuwe Europese Algemene Verordening voor Gegevensbescherming, wordt van kracht op 25 mei 2018. Wat betekent de nieuwe wetgeving voor uw organisatie, en hoe wordt er in andere organisaties naar gekeken? Welke consequenties zijn er verbonden aan non-compliance? En wat zijn de eerste stappen die u nu moet nemen? 

Het onderstaande artikel werd origineel gepubliceerd op motion10.nl.

Op wie is de AVG van toepassing?

De AVG is internationaal bekend als de GDPR: General Data Protection Regulation. Als uw organisatie op wat voor manier dan ook persoonlijk identificeerbare data van Europese burgers behandelt, zal de wet ook effect op u hebben. Ongeacht de geografische locatie waar uw organisatie gebaseerd is. Meer weten over de impact die de AVG/GDPR zal hebben op de bedrijfsvoering in uw organisatie? Bekijk dan dit artikel:

AVG: veranderingen en straffen bij non-compliance

De doelen van de nieuwe wetgeving zijn onder andere om Europese burgers betere controle te bieden over hun persoonlijke data, en het gelijktrekken van wetgeving rondom dataprotectie over de hele EU.

Voldoen aan de nieuwe Europese regels voor dataprotectie verandert veel aan de manier waarop organisaties werken. Veel organisaties zullen een Data Protection Officer (DPO) moeten aannemen, om ervoor te zorgen dat het bedrijf de regels correct volgt. Ieder bedrijf zal een proces moeten inrichten voor het melden van een datalek. U zult een procedure moeten invoeren om burgers te voorzien van het “recht om vergeten te worden”. En zo zijn er nog veel meer processen die ingericht moeten worden.

Niet voldoen aan de AVG kan ondertussen gigantische boetes opleveren (tot wel €20 miljoen of 4% van de totale omzet in een jaar). En daarnaast natuurlijk de bijbehorende reputatieschade.

Is uw organisatie er klaar voor? Cijfers over AVG readiness

Hoe staat uw organisatie ervoor, vergeleken met andere bedrijven en instellingen? Ondanks de strengere straffen, was in 2017 54% van de organisaties nog niet begonnen met het voorbereiden op de AVG – zo toonde onderzoek van consultancyfirma Veritas aan. Als uw organisatie er één is die haar strategie nog niet op orde heeft om tot compliance te komen, kunt u het beste nu beginnen.

Onzekerheid en bezorgdheid

Het probleem met de AVG/GDPR is voor veel organisaties niet dat ze niet beseffen wat voor schade non-compliance kan opleveren. Het is vaak eerder zo dat ze onzeker zijn over de te nemen stappen om compliant te worden. Onderzoek van onafhankelijk research specialist Vanson Bourne wijst uit dat 86% van de organisaties wereldwijd bezorgd is dat het niet voldoen aan de AVG een grote negatieve impact kan hebben op hun business.

Hetzelfde onderzoek laat zien dat 47% van de bedrijven verwacht dat ze niet op tijd aan de vereisten van de nieuwe wetgeving zullen kunnen voldoen. Sterker nog, bijna één op de vijf organisaties gelooft dat niet compliant zijn uiteindelijk kan zorgen voor de ondergang van het bedrijf.

Moeten we nu dus in de paniek-modus gaan zitten? Nee. Helder inzicht in wat er nu speelt, en het planmatig nemen van enkele stappen zijn wat u als eerste nodig heeft.

Assesment en een stappenplan

Voordat uw organisatie eventuele problemen met uw datamanagement kan oplossen, moet u die eerst in kaart brengen. Daarvoor is een assessment van de huidige staat nodig, zodat u vervolgens de benodigde stappen kunt zetten richting AVG/GDPR compliance. Zo’n assessment vindt u bijvoorbeeld in het Microsoft Trust Center. Vervolgens heeft een plan nodig om zich ervan te verzekeren dat ook uw organisatie compliant wordt. De juiste planning en voorbereiding zorgen ervoor dat iedereen in uw organisatie weet wat ze te doen staat.

Breng in kaart welke data u verzamelt
De AVG zal de bedrijfsvoering in uw organisatie op verschillende manieren beïnvloeden, afhankelijk van de soorten data die u verzamelt met uw activiteiten. Sommige organisaties beschikken over afbeeldingen van hun personeel, IP-geschiedenis, of persoonlijke identificatie van hun klanten. Afhankelijk van het soort informatie dat u verzamelt, moet u een strategie bedenken voor het managen daarvan onder de nieuwe wetgeving.*Tip: veel van onze klanten vinden de Data Discovery Toolbox van Microsoft een nuttige tool die helpt bij dit proces.

Informeer en train uw medewerkers
De AVG is absoluut niet slechts een zaak van de IT-afdeling. Uw hele organisatie moet meer verantwoordelijk en meer bewust bezig gaan met de data die zij onder handen krijgt, die betrekking heeft op klanten uit de EU. De meeste van uw medewerkers, van de winkelvloer tot aan HR en van sales tot marketing, hebben op wat voor manier dan ook persoonlijk identificeerbare informatie onder handen. De nieuwe regels zullen dan ook impact hebben op de manier waarop zij hun werk doen. Zorgen dat uw medewerkers over alle teams en afdelingen heen zich bewust worden van de veranderingen, moet een hoge prioriteit hebben.

Review de systemen en de data die u nu heeft
U moet er straks voor zorgen dat uw beleid, procedures én technologie voldoen aan de wetgeving. U moet dus onder andere weten:

  • Waar u de data van uw klanten opslaat;
  • Wat uw methode is voor het melden van een datalek aan betrokkenen;
  • Hoe uw organisatie een back-up regelt voor data en hoe data versleuteld wordt;
  • Of het data management dat u eventueel extern laat doen AVG compliant is;
  • Hoe u alle data behorend bij een klant terugvindt en verwijdert, zoals dat is vastgelegd in de “right to be forgotten” clausule.

Wijs een Data Protection Officer (DPO) aan
Onder de AVG zijn organisaties met 250 of meer medewerkers verplicht om een DPO aan te wijzen. Zelfs als uw organisatie kleiner is dan dat, is het aan te raden dat u iemand aanstelt die verantwoordelijk is voor data compliance, of tenminste de samenwerking met een consultant aangaat. Uw DPO moet de juiste kwalificaties hebben, niet per se als jurist maar wel met expertise met betrekking tot de beveiliging en bescherming van data. Deze persoon moet daarnaast goed snappen hoe uw organisatie werkt en up-to-date blijven van de laatste regels en wetgeving en de impact daarvan op uw systemen en processen. Het is belangrijk dat deze rol zo snel mogelijk wordt ingevuld.

Review en verfijn
De AVG zou niet iets moeten zijn dat uw organisatie vreest. U kunt deze verandering namelijk ook zien als een mogelijkheid om uw business processen te evalueren die te maken hebben met data en governance. En om deze processen zo nodig te veranderen en verbeteren.

Meer informatie?

Voor meer informatie over de GDPR en over termen als pseudonimisatie, verwerking, controllers, en persoonlijke data, bekijkt u Microsoft.com/GDPR. In de whitepaper “Beginning your GDPR journey” biedt Microsoft u meer informatie en een basale handleiding. Download de whitepaper hier.

Hulp bij uw reis naar AVG compliance?

U heeft nog een jaar om te zorgen dat u AVG compliant bent. Als Microsoft partners willen wij u graag informeren over en begeleiden bij de veranderingen in het omgaan met persoonlijke data van uw klanten, partners, en leveranciers die de GDPR vereist.

Het proces richting AVG compliance betekent een verandering op vele vlakken. Bijvoorbeeld in uw document management, in bedrijfscultuur; in technische infrastructuur en in processen. Audittrail, Mavim en Motion10 helpen u om een stappenplan uit te werken dat resulteert in een levende “AVG scorecard” waarmee u de correcte omgang met persoonlijke data binnen uw organisatie kunt monitoren. Daarnaast helpen wij u een stappenplan op te stellen richting AVG compliance.

  • Welke stappen moet u nu nemen, welke informatie heeft u nodig en wie kan u hierbij helpen? Om u op weg te helpen organiseren we een webinar op 13 februari 2018, van 14.00 tot 15.00 uur. Schrijf u nu in!

Meer weten of direct aan de slag met AVG compliance?

Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens van Europese burgers verwerken of bewaren, voldoen aan de AVG (Algemene Verordening Persoonsgegevens, ook wel bekend als GDPR). Niet voldoen aan de nieuwe Europese wetgeving kan naast reputatieschade substantiële boetes opleveren. Aantoonbaar AVG/GDPR compliant worden en blijven vereist kennis van en inzicht in de wet, informatiestromen, processen, inrichting en gebruik van een digitale werkplek. Microsoft-partners Audittrail, Mavim en Motion10 bundelen hun expertises om u hierbij te helpen.

Wilt u meer weten of direct aan de slag ?

Neem contact op

Meer interessante artikelen over GDPR

2018-02-28T11:30:02+01:00