AVG biedt bedrijven meer inzicht en overzicht

De AVG, ook wel de Algemene Verordening Gegevensbescherming, is een Europese verordening die de regels voor het verwerken van persoonsgegevens in de hele Europese Unie standaardiseert. Dit met als doel een bepaalde standaard en mate van privacy-veiligheid te kunnen realiseren door de hele EU. Hartstikke mooi plan, maar toch zien aardig wat bedrijven de meerwaarde er niet van.

Teveel wordt er nog steeds enkel gekeken naar de kosten in plaats van naar de baten van de AVG. Daarnaast is, vergelijkbaar met het uitvoeren van een certificering, ook het beeld van wat er exact dient te gebeuren vertekend. Zo merken wij dat veel organisaties de AVG zien als een project. Waarbij een intern team bezig gaat met, onder andere, de volgende zaken:

• Register van verwerkingen
• Privacy impact assessments
• Datalekregister
• Privacybeleid en statement
• Privacy by design & default
• Verwerkersovereenkomsten

Zodra dit allemaal op orde is gebracht ben je echter niet klaar. Nogmaals, het is geen project maar een proces. Je voert bovenstaande zaken uit als een eerste stap richting volwassenheid op het gebied van privacy. Daarnaast laat je ook je klanten zien dat je er serieus mee bezig bent. Dit met gevolg dat het vertrouwen van klanten, medewerkers en burgers in jouw organisatie groeit. Brengt wederom geen directe winst met zich mee maar zal op de lange termijn zeker zijn vruchten afwerpen.

De data-honger van de consument

Tegenwoordig kan je het als organisatie ook haast niet meer maken om niet bezig te zijn met de manier waarop je persoonsgegevens en data verwerkt. Zeker niet wanneer gekeken naar de data-honger die heerst in deze digitale eeuw. Klanten en de gemiddelde burger zijn zich daarmee ook steeds meer bewust van hun rechten en beoordelen bedrijven hier wel degelijk op. Er is dus absoluut een scenario denkbaar waar er klanten worden verloren omdat bedrijven niet handelen conform de AVG.

Daarom is het van belang om hier serieus mee aan de slag te gaan en dat begint bij het register van verwerkingen. Dit helpt bij het zichtbaar maken van welke processen persoonsgegevens verwerken. Dit is tevens de eerste stap in het bepalen van welke processen mogelijk een ‘hoog risico’ zijn op het gebied van privacy. Dit wordt vervolgens verder uitgewerkt aan de hand van een PIA, ofwel Privacy Impact Assessment. Hier wordt gekeken naar welke risico’s er potentieel kunnen ontstaan en om de juiste maatregelen te kunnen treffen om deze vervolgens te verkleinen of volledig te mitigeren.

Om vervolgens goed inzicht te krijgen in welke datalekken er (mogelijk) binnen de organisatie zijn is daar het datalekregister. Een goede bekendheid van dit proces helpt enorm bij het inzichtelijk krijgen van de lekken en de te nemen maatregelen. Dit is echt een gevalletje proactief handelen. Tenslotte ontstaan de meeste datalekken uit een serie van kleinere lekken die al eerder gezien waren.

Verklein je data-drempel en zie het vertrouwen toenemen

Om naar je klanten, en ook intern, een duidelijk beeld te schetsen over jullie aanpak is daar het privacy beleid en het privacy statement. Zo zorg je ervoor dat intern de neuzen dezelfde kant opstaan en dat klanten met meer vertrouwen zaken doen met jou. Deze moeten dan vervolgens wel worden opgevolgd en nageleefd, anders heeft het vrij weinig zin. Dit gebeurt aan de hand van privacy by design & default. Hoe dat werkt illustreren we aan de hand van een voorbeeld?

• Vul uw geboortedatum in:
• Bent u 18 jaar of ouder?

Door de eerste optie te gebruiken verwerk je al meteen weer extra persoonsgegevens in de vorm van een geboortedatum. Dit is bij de tweede optie niet het geval. Privacy by design & default helpt bij het verkleinen van de ‘data drempel’ voor klanten maar drukt ook de kosten voor de organisatie. Hoe minder data u tenslotte hoeft op te slaan, des te goedkoper. Tot slot, maar zeker niet minder belangrijk, de verwerkersovereenkomsten. Ben jij keigoed bezig met je privacy en volg je de AVG tot op de komma? Dan wil je dat de partijen die zaken met jou doen dit ook doen. In een verwerkersovereenkomst leg je dit allemaal vast.

Bij Beschermheren hebben we geen aandelen in de AVG-wetgeving maar hebben we wel belang bij het vergroten van het bewustzijn op het gebied van informatiebeveiliging. Daarom benadrukken wij in dit soort blogs graag het belang van zaken die standaard worden geacht maar dat nog zeker niet zijn. Meer weten over wat Beschermheren voor jouw organisatie kan betekenen op het gebied van IB, AVG en alles dat met privacy te maken heeft? Neem dan even contact met ons op, we staan je graag te woord!