Specialisten in de bescherming van uw gegevens

Welke tools zijn er om te voldoen aan de AVG?

Het is een behoorlijke klus om als organisatie te voldoen aan alle regels uit de Algemene verordening gegevensbescherming (AVG). Gelukkig zijn er handige tools en hulpmiddelen. Lees hier over de beste opties.

Tools voor regelnaleving

Om te voldoen aan de verplichtingen van de AVG is het allereerst belangrijk om inzichtelijk te hebben welke verwerkingen van persoonsgegevens er plaatsvinden binnen de organisatie. Daarnaast is een verklaring noodzakelijk over het waarom en hoe van de gegevensverwerkingen. Bovendien moet een organisatie aantonen dat er toestemming (of een andere wettelijke grondslag) is om de gegevens op die manier te verwerken. Voor verschillende onderdelen van de AVG moeten dan ook processen en procedures worden ingericht. Tools en andere hulpmiddelen kunnen hierbij ondersteunen.

Hulp bij de AVG

Er zijn diverse tools en hulpmiddelen die naleving van de AVG ondersteunen. Van slimme software en uitgekiende organisatorische processen tot externe experts. Tot de belangrijkste hulpmiddelen behoren:

- Data Protection Impact Assessments (DPIA's) om de grootste risico's bij de verwerking van persoonsgegevens te identificeren en te voorkomen.
- Software die inzage- en verwijderingsprocessen vereenvoudigt.
- Experts zoals een Functionaris voor de Gegevensbescherming (FG) of een privacydriehoek.
- Datalekprocedures.
- Trainingen om privacybewustzijn te vergroten.

Allerlei tools en hulpmiddelen ondersteunen de naleving van de AVG.

(D)PIA

Een belangrijk instrument bij de naleving van de AVG is een Data Protection Impact Assessment (DPIA) of Privacy Impact Assesment (PIA). Met een gegevensbeschermingseffectbeoordeling kunnen de risico's van gegevensverwerkingen worden bepaald, zodat vervolgens de juiste beheersmaatregelen gekozen en geïmplementeerd kunnen worden.

Een (D)PIA wordt uitgevoerd vóórdat een project, proces of softwaretoepassing van start gaat. Op die manier weet de organisatie zeker dat de zorgvuldige verwerking van persoonsgegevens al aan het begin van nieuwe initiatieven is aangepakt. De uitkomst van een (D)PIA vormt dan ook een goed uitgangspunt voor het toepassen van privacy by design. Bovendien creëert het uitvoeren van een (D)PIA bewustwording van dataprotectie binnen de organisatie. Om deze redenen is het raadzaam om ook een DPIA uit te voeren als dit onder de AVG niet verplicht is.

Software

De personen over wie uw organisatie persoonsgegevens verwerkt, hebben binnen de AVG veel rechten gekregen. Bijvoorbeeld het recht op inzage, verwijdering en verbetering van data, het recht om verwerkingen te beperken en het recht om gegevens mee te nemen. Het is zeker aan te raden om deze processen vroegtijdig in orde te hebben. Als u pas processen gaat inrichten als er een vraag binnenkomt dan kost dat veel tijd en energie - en bestaat het risico dat u niet voldoet aan de reactietermijnen die de AVG noemt.

Door de inzet van slimme software, intelligente metadatasystemen, of specifiek voor de AVG ontwikkelde robots kunt u snel voldoen aan verzoeken van betrokkenen en monitoren of alle gegevensverwerkingen nog wel in overeenstemming zijn met de privacyboekhouding.

Externe expertise

Organisaties die structureel grote hoeveelheden of bijzondere persoonsgegevens verwerken, zijn verplicht om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. De FG ziet erop toe dat een organisatie voldoet (en blijft voldoen) aan de wet- en regelgeving. Daarnaast adviseert deze privacydeskundige over passende maatregelen. Ook organisaties die niet verplicht zijn om een FG aan te stellen kunnen daar baat bij hebben. In dat geval is het ook mogelijk om een FG extern in te huren.

Naast de FG hebben ook de CISO, de interne auditor en de accountant een belangrijke rol in de controle op de naleving van de AVG. De FG kan ervoor zorgen dat deze betrokkenen goed samenwerken en vroegtijdig, effectief optreden om risico's en overtredingen tegen te gaan.

Datalekprocedures

Mocht een organisatie ondanks alle maatregelen toch te maken krijgen met een datalek, dan dient deze binnen 72 uur te worden gemeld aan de Autoriteit Persoonsgegevens (AP). Om aan deze termijn te voldoen is het essentieel om een datalekprocedure op orde te hebben. In de procedure is onder meer aandacht voor de samenstelling van een multidisciplinair privacyteam om een datalek te onderzoeken, de mogelijke gevolgen te beperken en de melding bij de AP te regelen. Ook de communicatie over de afhandeling van een datalek is hierbij van belang. Zowel de AP als betrokkenen, medewerkers, partners en leveranciers moeten immers op de hoogte worden gebracht.

Trainingen

Het trainen van privacybewustzijn van medewerkers is een belangrijk onderdeel van een slimme aanpak van AVG-compliance. In de meeste gevallen wordt een datalek of andere regelovertreding (per ongeluk) veroorzaakt door een medewerker. Trainingen kunnen medewerkers bewust maken van de risico's van de verwerking van privacygevoelige informatie. Op die manier kunnen medewerkers ook zelfstandig en onderling beoordelen of bepaalde verwerkingen van persoonsgegevens voldoen aan de wet.

Meer weten?

Wilt u meer weten over handige tools en hulpmiddelen om aan de vele regels en verplichtingen van de AVG te voldoen? Neem dan vrijblijvend contact met ons op.