avg

AVG: Dit wordt veelal vergeten…

Veel bedrijven zijn zeer serieus bezig geweest met de implementatie van de AVG. En toch voldoen ze niet (volledig) aan de AVG. Wat schort er veelal aan na bijna drie jaar…

Global Risk Management Center

AVG: Dit wordt veelal vergeten…

Veel bedrijven zijn zeer serieus bezig geweest met de implementatie van de AVG. En toch voldoen ze niet (volledig) aan de AVG. Wat schort er veelal aan na bijna drie jaar…

Share on facebook
Share on linkedin
Share on whatsapp
Share on email

Algemene Verordening Gegevensbescherming (AVG)

De AVG (of GDPR: General Data Protection Regulation in het Engels) gaat over de bescherming van persoonsgegevens voor bedrijven. Het zorgt ervoor dat voorkomen wordt dat bedrijven veel persoonsgegevens verzamelt en deze eventueel financieel uitbaat. Ook gegevens die niet noodzakelijkerwijze nodig zijn bij de uitvoering van de dienst of verkoop. Waarom zou je een geboortedatum moeten invullen bij een webwinkel. Dit ligt natuurlijk anders als je een levensverzekering wilt afsluiten. Daar is een geboortedatum essentieel.

Risicoanalyse

Laten we beginnen wat veelal wel goed gegaan is. Veel bedrijven hebben een risicoanalyse gemaakt welke persoonsdata zij hebben en waar deze voor nodig is. Je ziet duidelijk dat zij hier maatregelen voor getroffen hebben. Al kan het bij sommige bedrijven beter vastgelegd worden wat de risico’s zijn en hoe die gemitigeerd worden om dit te veranderen.

Bij veel bedrijven zie ik dat de algemene voorwaarden zijn aangepast om persoonsgegevens te verzamelen die noodzakelijk zijn voor hun dienstverlening, maar waarvoor ze geen toestemming hebben vanuit de wetgeving.

Waar bedrijven veelal niet aan gedacht hebben, zijn de persoonsgegevens van hun eigen personeel. De AVG is ook van toepassing op deze gegevens.

Verwerkersovereenkomst

In de situatie dat bedrijven diensten hebben uitbesteed, dan dient dit bedrijf een verwerkersovereenkomst met het bedrijf die de dienst uitvoert om er voor te zorgen dat zij eveneens goed met de persoonsgegevens omgaan. Dit is veelal goed geïmplementeerd. Alleen zie ik veelal dat de verwerkersovereenkomst door het bedrijf die de dienst uitvoert wordt vereist. En dat moet natuurlijk anders om zijn. Het bedrijf die de dienst laat uitvoeren is verantwoordelijk wat er met zijn data wordt gedaan.

 

Reikwijdte

De AVG is bedoeld dat bedrijven juist met persoonsgegevens omgaan. En daar ligt direct een probleem. Bedrijven in de zin van een rechtspersoon (BV, NV, Stichting, etc.) zijn geen probleem. Maar eenmanszaken (waaronder huisartsen, therapeuten, consultant, etc.) vallen daar ook onder. Mijn ervaring is dat veel van deze beroepsgroepen alleen bezig zijn met hun werk en dat zij denken dat zij niet direct onder de AVG vallen. Terwijl deze beroepsgroep veelal zeer persoonlijke informatie krijgen door de persoonlijke contacten. Deze groepen worden toch dringend verzocht om meer maatregelen te treffen voor de AVG.

 

Gegevensopslag

Bedrijven hebben dan wel de gegevens geanalyseerd dat zij verzamelen van persoonsgegevens, maar veelal worden er geen maatregelen getroffen om deze data veilig op te bergen. Vaak zie ik dat er nog met papieren dossiers worden gewerkt met daarin een goed leesbare kleurenkopie van de UBO. Mooie aanleiding voor identiteitsdiefstal. Ook de papierendossiers van huisartsen of therapeuten met daarin zeer gevoelige informatie over de gezondheid van de patiënt.

De AVG heeft specifieke vereisten gesteld aan de opslag van deze gegevens. En daar kunnen veel bedrijven (dus ook huisartsen, therapeuten, etc.) nog veel meter in maken.

 

Procedures

De AVG heeft ook vereisten gesteld dat er procedures gemaakt moeten worden voor inzage, aanpassing, verwijdering en transport(portabiliteit) van persoonsgegevens. Natuurlijk hebben veel bedrijven dat. Alleen, dat staat veelal niet zwart-op-wit. En dat is een vereiste van de AVG. Hier kunnen bedrijven ook nog de nodige aandacht aan geven.

 

Verwerkingsregister

En dan het laatste punt dat de effectiviteit van de implementatie van de AVG verbeterd kan worden is het verwerkingsregister. Het begint al bij de opzet van een competentiematrix. In deze matrix staat aangegeven welke persoon, welke informatie mag inzien. En dat ligt vaak niet vast. En natuurlijk moet er een uitweg zijn die rechtvaardigt dat er afgeweken kan worden van de procedures. De break-the-glass-procedure.

Als zo’n break-the-glass procedure uitgevoerd moet worden moet dit vastgelegd worden in een logging of verwerkingsregister om achteraf vast te kunnen stellen dat dit noodzakelijk was.

Ook de toegang tot de gegevens door derden moet vastgelegd worden in een verwerkingsregister. Mijn ervaring is dat dit bij veel bedrijven niet het geval is.

 

 

Dus… er kan nog vele meters gemaakt worden om de AVG effectief te implementeren.

 

Bent u benieuwd of u volledig voldoet aan de AVG om zo onnodige boetes te voorkomen, neem dan contact op met GRMC.

 

Heeft u nog opmerkingen of wilt u een onderwerp behandeld zien, laat dan uw commentaar achter. Ik kom daar later in een artikel op terug.

 

Tot over twee weken.

Gerelateerde begrippen

Meld je aan voor de nieuwsbrief!

Ontvang de nieuwste informatie

Meld u aan voor nieuwe artikelen over de compliance wetgeving

Wij van GRMC schrijven elke twee weken een nieuw artikel over de compliance wetgeving. Bent u hier benieuwd naar, blijf dan op de hoogte en meld u hieronder aan voor de nieuwsbrief!