Het is precies een jaar geleden dat de AVG van toepassing is. Veel organisaties hebben inmiddels grip op privacy en zijn aantoonbaar in control. Anderen hebben wat eerste stapjes gezet, maar weten dat ze er nog lang niet zijn.
Het begint met een goed privacybeleid, waarmee uw organisatie aangeeft dat men de AVG wil naleven en waarin de diverse taken en verantwoordelijkheden zijn benoemd. Dit beleid dient te worden vastgesteld en te worden gedeeld met de medewerkers.
Een volgende stap is het plaatsen van een privacyverklaring op uw website. We zien nog veel privacyverklaringen die slechts uitleggen hoe de website met cookies omgaat. Dat is geen privacyverklaring, maar een cookieverklaring. In een privacyverklaring legt de organisatie uit hoe ze omgaat met persoonsgegevens van klanten, bezoekers en medewerkers.
Om dat uit te kunnen leggen moet u wel eerst zelf weten wat er met persoonsgegevens gebeurt in uw organisatie. Houdt u wel of geen medische persoonsgegevens bij, hoe lang worden gegevens bewaard, voor welke doelen? Welke verwerkers schakelt u in bij de verwerking en in welk land slaan zij deze persoonsgegevens voor u op? Als u dit heeft uitgezocht en gedocumenteerd in een dataregister, dan pas bent u in staat om het in een privacyverklaring uit te leggen aan de buitenwereld.
Het vaststellen van beleid is eenvoudig, het aantoonbaar uitvoeren hiervan vraagt om iets meer aandacht. Dit is de marathon na de sprint. Hoe moet u inzageverzoeken afhandelen? Hoe kunnen uw medewerkers bij het uitvoeren van hun werkzaamheden de uitgangspunten van uw privacybeleid nakomen? Hoe is het met de bewustwording en zijn de gedragsregels vrijblijvend of bindend? Heeft u passende beveiliging tegen de grootste risico’s genomen en welke risico’s zijn dit? Herkennen uw medewerkers een datalek en weten ze hoe ze dit intern moeten melden? Hoe gaat u om met dataminimalisatie en privacy by design?
Speciaal voor deze organisaties hebben we de AVG Status-check ontwikkeld.
Daarmee kunt u snel inzicht krijgen in wat er al in orde is en wat er nog moet worden opgepakt. U kunt natuurlijk ook pas in actie komen als er een calamiteit optreedt. Privacy by disaster noemt men dit. Dat raden wij u vanzelfsprekend niet aan, maar ook in dat geval kunnen wij u van dienst zijn. Interesse? Neem vrijblijvend contact met ons op!
Frank Roex
Partner
Het Privacy Huys B.V.