AVG-compliance methode

Wat is voldoende organisatie specifiek:

Het artikel van vorige week lichtte de noodzaak van een geschikte AVG-compliance methode toe. De crux van een geschikte methode is een organisatiespecifieke aanpak. De AVG dwingt namelijk tot het risicomanagement van uw verwerkingen ter bescherming van uw betrokkenen. Organisatie specifiek betekent dat een AVG-compliance methode ten minste het volgende oplevert:

1.     Verantwoording verwerkingen:

Uw verwerking moeten aantoonbaar plaatsvinden op basis van de beginselen van de AVG (art. 5:2 AVG). Geen organisatie of bedrijf ontkomt aan deze plicht. Daarom is het verstandig om naast het verwerkingsregister ook beginselen, grondslagen en de informatieplicht te behandelen (de AVG-vereisten).

2.     Beoordeling van risico:

Inzicht in de risico’s voor betrokkenen is nodig voor het afstemmen van de maatregelen (art. 24 AVG). Hoewel een DPIA niet altijd vereist is, is zicht op de risico’s zowel AVG-technisch als bedrijfskundig altijd verstandig.

3.     Maatregelen:

Om zowel volledige verantwoording als afstemming op risico’s te verzekeren, is het verstandig elke verwerking te voorzien van een specifieke maatregel en protocollaire beschrijving.

4.     Bewustwording & continuïteit

Bewustzijn over AVG-plichten binnen de organisatie en continuïteit waarborgen ondersteunen risicobeheersing. Een volledige compliance methode maakt beide aantoonbaar.

Om bovenstaande te bereiken kent een AVG-compliance methode bij voorkeur drie elementen: organisatieanalyse, codificering en bewustwording & continuïteit. De organisatieanalyse verzekert volledige verantwoording door processen, rollen en de infrastructuur vast te stellen en deze samen met de AVG‑vereisten te behandelen. Codificeren is het vastleggen en introduceren van de maatregelen en protocollen die de persoonsgegevens beschermen. Bewustwording en continuïteit verzekeren is afhankelijk van het volwassenheidsniveau van een organisatie. Door het slim inrichten kan het AVG-compliance traject aan beide bijdragen.

De komende weken gaat Kurtosis artikelen over de organisatieanalyse, codificering en bewustwording & continuïteit publiceren.

Heeft u vragen, neem gerust contact op met:

Ruud Stienissen, Functionaris Gegevensbescherming tel nr. 06 184 134 20

Mario van Dregt, Coördinator Planning, tel nr. 06 301 128 35