Een administratieve tijger zonder tanden. Zo wordt de AVG ook wel eens genoemd. Want is het niet de AVG die ervoor zorgt dat je opeens bij moet gaan houden welke gegevens je waarvoor inzet? En welke datalekken je in het verleden hebt gehad? En hoe je beveiliging van gegevens hebt geregeld? Om nog maar niet te spreken over alle verwerkersovereenkomsten die je moet sluiten. Allerlei documentatieverplichtingen, maar een toezichthouder die nog geen boetes uit heeft gedeeld.
Zoals eerder besproken, is de angst voor boetes een verkeerde drijfveer om aan de AVG te voldoen. Het eerlijk omgaan met persoonsgegevens en zelfs het behalen van concurrentievoordeel zijn meer voor de hand liggende argumenten. Maar waar moet je beginnen om te voldoen aan de AVG en wanneer ben je klaar?
Om te beginnen bij het begin: je bent nooit klaar. Voldoen aan de AVG is een continu proces. Continu laten zien dat je uit kunt leggen wat je doet met persoonsgegevens, waarom je dat doet en hoe je bij blijft met je beveiliging. Wanneer je van nul af aan begint, is mijn advies om te beginnen met het in kaart brengen van je verwerkingen. Start met het verwerkingsregister. Door het invullen van het register dwing je jezelf om inzicht te krijgen in welke gegevens je waarom eigenlijk verwerkt.
Aan de hand daarvan kun je verdere vraagstukken oppakken. Zoals bijvoorbeeld de beveiliging, bewaartermijnen en het sluiten van verwerkersovereenkomsten. Dit noem ik ook wel eens de ‘achterkant’ van je AVG-huishouding. Je eigen interne AVG-huishoudboekje. Wanneer dat allemaal op orde is, zet je een goede stap richting het voldoen aan de AVG.
Vergeet alleen niet dat iets op papier zetten pas de eerste stap is. Mensen die binnen je organisatie met persoonsgegevens omgaan moeten ook weten wat ze wel en niet kunnen doen. Voorlichting en bewustwording is een belangrijk aspect. Webinars en e-learnings, workshops met afdelingen, een wekelijks berichtje van de FG in de interne nieuwsbrief: allemaal voorbeelden die bij kunnen dragen aan de bewustwording binnen de organisatie.
Als het AVG-huishoudboekje en de bewustwording onder medewerkers op orde is, communiceer je dit natuurlijk ook graag naar buiten toe. In een privacyverklaring leg je aan de hele wereld uit wat je doet en waarom. Dit alles kun je kracht bij zetten door een onafhankelijke, externe bevestiging te krijgen in de vorm van Privacy Verified. Zo is het niet alleen je FG die tevreden kan zijn, maar kun je ook aan de buitenwereld laten zien dat je privacy zeer serieus neemt.
Het verhaal hierboven lijkt allemaal gemakkelijk en eenvoudig te realiseren. Stel wat documenten op, organiseer een workshop, toets dit en klaar ben je. Onze ervaring is echter dat dit makkelijker gezegd dan gedaan is. Helemaal als privacy niet iets is wat altijd hoog op de agenda staat - of waar beperkt budget, tijd en middelen voor worden gereserveerd. Met Privacy Verified bieden wij een laagdrempelige, praktische en toch volledige oplossing.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.