In aanloop naar de AVG schreef ik een blog met daarin 5 stappen om voorbereid te zijn op de AVG. Heeft jouw organisatie alles (nog) op orde sinds de AVG? Onderhoud en borging blijken voor veel organisatie de knelpunten te zijn…

Houd het overzicht

Onze privacy toezichthouder, de Autoriteit Persoonsgegevens (AP), controleert sinds de invoering van de AVG regelmatig of organisaties de vereisten uit de privacywetgeving wel naleven. Vorige maand nog heeft de AP bij dertig bedrijven opgevraagd welke afspraken zij maken met andere partijen die voor hen persoonsgegevens verwerken.

In mijn eerdere blog was Stap 2: Breng in kaart met welke partijen je gegevens uitwisselt/deelt en waarom. Samenwerkingen komen en gaan. Klopt jouw overzicht van verwerkers (zgn. verwerkersadministratie) nog? Zijn met alle nieuwe partners passende afspraken gemaakt over privacy? Het is de kunst om ook je privacy gerelateerde administratie en documentatie bij te houden.

Plan-Do-Check-Act

Achter elk van de 5 stappen schuilt een dergelijk continue proces. Stap 3: Bedenk wat je gaat (en moet) doen in geval van een datalek. Ernstige datalekken moeten binnen 72 uur na het ontdekken daarvan gemeld worden aan de AP. Het aantal gemelde datalekken aan de AP is in 2018  meer dan verdubbeld ten opzichte van 2017. Er zijn maar liefst 20.881 datalekken gemeld bij de AP. Van de 31 landen die de AVG hanteren, heeft Nederland sinds de invoering van de AVG de meeste datalekken gemeld. In ruim tweederde (63%) van de datalekken die in 2018 zijn gemeld, gaat het om persoonsgegevens die aan een verkeerde ontvanger zijn gestuurd.

Ook jouw organisatie heeft ongetwijfeld al te maken gehad met een datalek of een beveiligingsincident. De vraag is of het Protocol Datalekken vervolgens netjes werd opgevolgd én (belangrijker!) of het werkte?! Zoniet, evalueer kort wat beter kan en pas het proces daarop aan volgens de Plan-Do-Check-Act-cyclus.

Awareness op peil houden

Zorg er bovendien voor dat het kennisniveau van je medewerkers op peil blijft, met name als sprake is van een grote doorstroom van werknemers. Weten jouw medewerkers (nog) wat een datalek is en zijn zij bekend met het Protocol Datalekken?

Naast periodieke trainingen en/of het aanbieden van (verplichte) e-learnings verdient het aanbeveling kennis zoveel mogelijk te delen. Verzamel de veel gestelde vragen en deel de antwoorden organisatie breed. Informatie zakt, helemaal als het geen dagelijkse kost is.

Borgen en beleggen

Bij grotere organisatie is privacy vaak het pakkie an van de jurist of de afdeling Legal. Binnen het MKB heeft iemand privacy op zijn bord gekregen, iemand die zich daarnaast ook bezig houdt met andere (niet juridische) zaken. Zaken die toch vaak leuker zijn én (mogelijk) geld in het laadje brengen. Het (periodiek) nalopen en actualiseren van bijvoorbeeld het privacy- of cookiestatement wordt nog weleens vergeten of op de lange baan geschoven.

Gespecialiseerde privacy ondersteuning van een externe partij kan uitkomst bieden. Steeds meer consultancy bedrijven bieden uitgebreide privacy diensten en advies op locatie of op afstand. Ook ik en mijn collega’s van DMCC fungeren veel als remote privacy officer. Wil je hier meer over weten? Neem dan contact op met DMCC.

Dit artikel is eerder gepubliceerd op https://nieuws.mijndomein.nl/