AVG: de stand van zaken

Tijd om uw AVG-compliance methoden te controleren

De Algemene verordening gegevensbescherming (AVG) is alweer een aantal maanden volledig van kracht. Helaas is de verwarring nog niet minder. Veel organisaties ervaren de AVG als complex en/of hinderlijk. Logisch, de AVG is het soort wetgeving dat het nodige openlaat; de wet is een raamwerk van beginselen en principes. Daarnaast bestaat een geaccrediteerd stelsel van normen en certificeringen (nog) niet en spreken bronnen elkaar tegen. Kortom er is onvoldoende houvast.

De gevolgen zijn een wildgroei van compliance methoden, waarvan een gedeelte ontoereikend. Want hoewel de AVG veel openlaat qua wijze en normen, is de doelstelling helder: door risicomanagement, verantwoording en bewustwording privacy beschermen. Inderdaad, de wetgever probeert bewust organisaties/bedrijven aan te zetten tot risicomanagement: de opzet van de AVG is namelijk zodanig dat de privacyrisico’s van betrokkenen organisatierisico’s worden. Veel compliance methoden hebben hier geen oog voor.

Een snelle toets voor AVG-compliance methoden zijn de volgende vragen:

  • Zijn risico’s geanalyseerd, gedocumenteerd en verantwoord en kunt u continuïteit van risicobeheersing aantonen?
  • Heeft u per verwerking alle aspecten die de AVG benoemt in beeld? Het verwerkingsregister bevat alleen de vereisten van artikel 30, u moet meer kunnen verantwoorden. Is er bijvoorbeeld een systematiek voor toestemming en informeren opgesteld gericht op de verschillende verwerkingen?
  • Zijn alle medewerkers zich bewust van privacyrechten & -plichten en kunt u dit aantonen?

Als de AVG-compliance method onvoldoende organisatiespecifiek is, komt uw organisatie/bedrijf gebrekkig door de vragen heen. Veelal vindt geen analyse van verwerkingen of risico’s plaats, ontbreekt specifieke verantwoording en zijn protocollen universeel.

De AVG dwingt tot een organisatiespecifieke methode omdat de AVG u verplicht: de risico’s van uw verwerkingen voor uw betrokken te beperken. Methoden die uw risico’s en verwerkingen niet analyseren en verantwoorden, slaan gegarandeerd de plank mis! Deze methoden staan haaks op de doelstelling van de AVG.

Kurtosis heeft zich het organisatie specifieke AVG-compliance proces eigen gemaakt. Wij kunnen snel en betaalbaar een organisatieanalyse uitvoeren en u voorzien van grondige organisatiespecifieke protocollen. Of u nu veel of weinig persoonsgegevens verwerkt, Kurtosis vindt altijd een aanpak die uw organisatie/bedrijf past.

Begin volgende week presenteren wij u de opzet van onze AVG-compliance methode.

Heeft u vragen, neem gerust contact op met:

Ruud Stienissen, Functionaris Gegevensbescherming tel. nr 06 18413420

Mario van Dregt, Coördinator Planning, tel nr. 06 30112835.