10 tips voor uw organisatie om te voldoen aan de AVG

Hoe past uw organisatie zich aan aan de nieuwe, strenge privacywetgeving? Wij verzamelden 10 tips om u te helpen uw naleving te verbeteren:

1. Neem privacy serieus. Met de verkeerde manier van denken zult u nooit werkelijk AVG compliant zijn. Het voorkomen van problemen vergt (onder andere) een begrip van de werkelijke risico’s van misbruik van persoonsgegevens. Mooie woorden in privacyverklaringen alleen zullen de betrokkene niet beschermen. Zorg dat niet enkel de woorden kloppen, maar handel er ook naar.

2. Voorbereiding, voorbereiding, voorbereiding. Wanneer u wordt geconfronteerd met verzoeken van een betrokkene of een toezichthoudende autoriteit, is het goed om al nagedacht te hebben over vragen zoals: welke persoonsgegevens zijn opgeslagen, welk doel dienen ze, waar zijn ze opgeslagen, wie is er verantwoordelijk voor, etc.

3. Gebruik hulpmiddelen. Wanneer uw organisatie klein is zal een Excel sheet misschien volstaan, maar het register van verwerkingen uit artikel 30, het inbreukregister uit art. 33 en 34, en de gegevensbeschermingseffectbeoordeling uit art. 35 kunnen gemakkelijk uitgroeien tot een complex informatiesysteem. Er zijn speciale hulpmiddelen beschikbaar om deze gegevens te beheren.

4. Gebruik checklists. Het is misschien nodig om de verschillende stappen bij te houden die uw organisatie moet nemen om naleving te waarborgen, zelfs wanneer u speciale hulpmiddelen gebruikt. Er zijn zoveel mogelijke stappen dat het onmogelijk is om het overzicht te bewaren zonder tenminste een of andere lijst of spreadsheet.

5. Wees grondig. In het geval dat een toezichthouder navraag doet, is de kans groot dat ze gedetailleerde vragen zullen stellen. Hoe beter u bent voorbereid om een gedetailleerde inventarisatie van verwerkingen te verschaffen, hoe groter de kans dat u in staat bent om de nieuwsgierigheid van de toezichthoudende autoriteit te bevredigen.

6. Wees transparant. Herinnert u zich het enorme Yahoo-datalek dat twee jaar geheim werd gehouden? Zaken verzwijgen voor de betrokkene of de toezichthouder zal een averechts effect hebben. Overtredingen moeten worden gemeld, gegevens moeten beschikbaar worden gesteld indien nodig. Transparantie zal uw organisatie vertrouwen opleveren.

7. Wees verantwoordelijk. Niets is zo erg als de schuld op iemand anders schuiven. Tijdens het V.S. Senaatsverhoor nam Mark Zuckerberg de schuld op zich voor het merendeel van het misbruik van persoonsgegevens door Cambridge Analytica. Of dat heeft geholpen moet nog blijken, maar het is een eerste stap in het nemen van meer maatregelen die de grootschalige misbruik van persoonsgegevens voorkomen.

8. Werk samen. U bent niet de enige met vragen over hoe u de AVG moet interpreteren. Met beperkte begeleiding, en zonder beschikbare rechterlijke vonnissen is de interpretatie van de regels een noodzakelijke stap voor iedereen. Praten met andere mensen die zich in een soortgelijke positie bevinden, helpt u een mening te vormen over de keuzes die u zult moeten maken.

9. Gebruik uw gezond verstand. Er staan nogal een aantal verstrekkende verplichtingen in de AVG. Hoewel het belangrijk is deze ernstig te nemen, kan niemand het onmogelijke van u verlangen. Dus hoewel u een gedetailleerd register moet tonen van wat er gebeurt met persoonsgegevens, moet de granulariteit ervan binnen redelijke grenzen blijven.

10. Vraag om hulp. Uw toezichthoudende autoriteit kan enige begeleiding beschikbaar stellen die u helpt om de AVG in verschillende opzichten na te leven. Maar wanneer u ingewikkelde dingen doet met persoonsgegevens, en niet de zelf de middelen heeft, kan een advocaat of consultant u helpen om naleving te waarborgen — uiteraard tegen een prijs.

Laurens Mommers
COO PrivacyPerfect