Is uw organisatie AVG-proof?

Vrouw achter computers in bibliotheek

Afgelopen week was er lichte paniek in ons MT: de AVG komt eraan en zijn we er eigenlijk wel klaar voor? De paniek is begrijpelijk, de nieuwe Algemene Verordening Gegevensbescherming stelt organisaties voor bijzondere uitdagingen als het gaat om de waarborg van privacy van online klantgegevens.

Eerst even de feiten: Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De AVG is van toepassing op publieke én private organisaties die persoonsgegevens verwerken. Op 25 mei 2018 wordt de AVG definitief van kracht en vervangt dan de Wet bescherming persoonsgegevens (Wbp). De nieuwe AVG sluit beter aan bij de grote datastromen van de huidige informatiesamenleving, de privacy rechten van personen en privacy plichten van organisaties.

Tot zover niets om je druk over te maken. Ware het niet dat het niet voldoen aan de voorschriften kan leiden tot serieuze financiële risico’s:

  1. Een boete van € 10.000.000 of tot 2% van de wereldwijde jaaromzet voor een overtreding van administratieve bepalingen; en
  2. Een boete van € 20.000.000 of tot 4% van de wereldwijde omzet voor meer fundamentele overtredingen of het niet opvolgen van bevelen van de toezichthoudende autoriteit.

Wie dat leest gaat toch even rechtop zitten om zich af te vragen wat die administratieve voorschriften zijn. Tineke van Heijst, directeur van VHIC, een adviesbureau op het gebied van informatiemanagement, legt in een tien stappenplan uit welke maatregelen organisaties moeten nemen (download de roadmap hier) om aan de AVG te voldoen. De maatregelen gelden zowel voor de fysiotherapeut om die hoek die een online nieuwsbrief verstuurt aan zijn patiënten, de gemeente, als voor de Aholds en Shells van deze wereld: voor iedereen die met digitale persoonsgegevens werkt.

Terug naar onze eigen situatie. Tijdens de bewuste vergadering werden de aanwezigen door de CRO (Chief Risk Officer) gelukkig gerustgesteld: we zijn op weg. Er is een projectteam aangesteld (stap 1) en een Functionaris Gegevensbescherming (stap 2). Verder blijkt de uitgebreide Excel-sheet van de week ervoor de noodzakelijke inventarisatie te zijn geweest van digitale informatiestromen (stap 4). Daarvoor had men al nieuwsbrieven gestuurd om medewerkers bewust te maken (stap 3). Ook was men hard bezig met het optuigen van de noodzakelijke beveiliging van persoonsgegevens (stap 5).

Lekker bezig dus. We hebben nu nog een goed half jaar om de resterende stappen te realiseren. Eind mei 2018 is onze organisatie AVG-proof.

@adhofstede

 

Meer informatie

Op 30 november en 14 december 2017 vindt de Masterclass Privacy, Data Governance en de AVG plaats aan de Erasmus Universiteit Rotterdam. De masterclass is bedoeld voor iedereen die zich bezighoudt met het beheer en de verwerking van persoonsgegevens. Tijdens de masterclass leert u wat de AVG voor uw organisatie betekent en hoe u uw organisatie aan de eisen van de nieuwe wet kunt aanpassen. Voor direct inschrijven of meer informatie, gaat u naar www.erasmusacademie.nl/avg