AVG Codificeren: Protocollen en Maatregelen

Vorige week is de organisatieanalyse behandeld. Deze analyse levert een volledig beeld op van alle processen met persoonsgegevens binnen uw organisatie. De uitkomst vastleggen in diverse protocollen is de stap codificeren.

Codificeren kent drie doelstellingen: verantwoorden, AVG-plichten naleven en (organisatorische) maatregelen opstellen. Hiervoor zijn de volgende protocollen noodzakelijk:

Verantwoorden:

  • Privacy protocol:
    O.a. uitleg AVG-beginselen, verantwoording verwerkingen, rechten van betrokkenen, risicoanalyse-methode verantwoording & uitleg, uitkomst risicoanalyse verwerkingen en noodzakelijkheidsanalyses DPIA & FG en waarborgen Bewustwording & Continuïteit.Het privacyprotocol moet het privacy-naslagwerk zijn voor de gehele organisatie. Het verantwoordt alle verwerkingen en keuzes. Hoewel het privacyprotocol de basis is van het privacybeleid, is deze niet een directe maatregel om verwerkingen te beschermen. Daarvoor is het privacyprotocol te uitgebreid, de specifieke protocollen (zie maatregelen) geven de praktische instructies die persoonsgegevens beschermen.

AVG-plichten naleven:

  • Register van verwerkingsactiviteit:
    Verplicht o.g.v. artikel 30 AVG.
  • Protocol datalek:
    Een datalek melden is verplicht o.g.v. artikel 33 en 34 AVG. Let op! De EU stelt eisen aan procedures die datalekken afhandelen.
  • Privacyverklaring:
    Veel gebruikte methode om betrokkenen te informeren. Deze moet overzichtelijk en begrijpelijk zijn.
  • Protocol Informeren en Toestemming:
    Dit protocol geeft per verwerking een uitleg hoe de betrokkenen te informeren/te vragen om toestemming.

Maatregelen:

  • Richtlijnen verwerkingsovereenkomsten:
    Wanneer een verwerkingsovereenkomst te sluiten en waar deze aan moet voldoen.
  • Medewerkersprotocol datalek:
    Medewerkers moeten zich bewust zijn van de risico’s van een datalek en weten hoe een datalek vast te stellen. Zij zijn ten slotte de oren en ogen van de organisatie.
  • Specifieke protocollen:
    Bijvoorbeeld over: sollicitatieprocedures, relatiebeheer & klantbestanden, persoonsgegevens van medewerkers, ledenadministratie of e-mails.Dit zijn organisatorische maatregelen die voorschrijven hoe verwerkingen uit te voeren. Het is verstandig deze kort en praktisch in te richten voor de medewerkers, aangezien zij de verwerkingen dagelijks uitvoeren.

Deze protocollen opstellen aan de hand van de organisatieanalyse verzekert, in combinatie met bewustwording & continuïteit, AVG-compliance. Kurtosis heeft ruime ervaring met het organisatiespecifiek opstellen van deze protocollen en maatregelen.

 

Heeft u vragen, neem gerust contact op met:

Ruud Stienissen, Functionaris Gegevensbescherming tel. nr 06 184 134 20

Mario van Dregt, Coördinator Planning, tel nr. 06 301 128 35