Stel je voor dat je in het midden van een kaart staat, omringd door de verschillende paden en bestemmingen van je GDPR-compliance. Dit is je “Je bent hier”-moment – een kans om te beoordelen waar je bent voordat je een koers voorwaarts uitzet. Het kennen van uw vertrekpunt is net zo belangrijk als uw bestemming. En in het geval van een complexe AVG-reis, is het essentieel om even de tijd te nemen om de balans op te maken van uw huidige beleid, procedures en praktijken, uw AVG-vereisten, beschikbare tools en technieken.
Maak de balans op van uw huidige beleid en procedures
Elke levende en operationele organisatie heeft bestaand beleid, procedures en praktijken die regelmatig moeten worden gewijzigd om gelijke tred te houden met de veranderende zakelijke vereisten. Dus met verandering in zakelijke vereisten veranderen we de artefacten en onze werkwijzen. Deze veranderingen vereisen verdere beoordeling en evaluatie van het bestaande systeem met betrekking tot industriestandaarden en overheidsvoorschriften.
GDPR is zo’n zakelijke vereiste die bindend is voor organisaties en een aanzienlijke impact heeft op de manier waarop bedrijven persoonlijke gegevens van individuen verwerken. Begin dus met een lijst van bestaand beleid en procedures wat elk daarvan doet. In het kader van de AVG staan deze bekend als Technische en Organisatorische Maatregelen.
Uw AVG-vereisten kennen
Als je eenmaal hebt ontdekt wat je hebt, moet je weten wat je niet hebt. Er is een one-size-fits-all, verschillende bedrijven hebben verschillende eisen. Het hangt af van de grootte van het bedrijf, het soort persoonsgegevens waarmee het bedrijf te maken heeft, het geografische werkgebied enz. Dit vereist dus het invullen van de kant-en-klare checklists. Hieronder volgen de items op hoog niveau die moeten worden gemeten:
1. Privacybeleid:
• Bevat het beleid een duidelijke en uitgebreide verklaring over de gegevensverwerkingsactiviteiten van het bedrijf?
• Bevat het beleid specifieke informatie over de rechten van betrokkenen?
• Bevat het beleid een sectie over hoe lang gegevens worden bewaard?
2. Gegevensverwerking:
• Is het bedrijf op de hoogte van de gegevens die het verzamelt en bewaart?
• Heeft het bedrijf een wettelijke basis voor het verzamelen en verwerken van gegevens?
• Zijn de juiste waarborgen aanwezig om gegevens te beschermen?
• Is er een proces om te reageren op toegangsverzoeken van betrokkenen?
3. Datalekken:
• Is er een procedure om eventuele datalekken op te sporen, te onderzoeken en te melden?
• Is er een systeem om de relevante autoriteiten en betrokkenen op de hoogte te stellen van eventuele datalekken?
4. Opleiding:
• Zijn alle medewerkers op de hoogte van hun verplichtingen onder de AVG?
• Zijn alle medewerkers getraind op het gebied van naleving van de AVG?
5. Functionaris voor gegevensbescherming (DPO):
• Is er een aangewezen functionaris voor gegevensbescherming?
6. Derden:
• Zijn alle derde partijen op de hoogte van hun verplichtingen onder de AVG?
• Is er een proces om ervoor te zorgen dat gegevens alleen worden gedeeld met conforme derde partijen?
7. Registratie van Verwerkingsactiviteiten:
• Wordt er een register van verwerkingsactiviteiten bijgehouden?
• Zijn de registraties van verwerkingsactiviteiten nauwkeurig en volledig?
8. Klachten, toestemmingen en toegangsverzoeken:
• Wordt toestemming verkregen in overeenstemming met de AVG?
• Is het voor betrokkenen duidelijk hoe en waarom hun gegevens worden verzameld?
• Zijn betrokkenen op de hoogte van hun recht om toestemming in te trekken?
Bekijk andere delen van de blog voor meer informatie.
Automatiseringstools voor AVG-naleving
Ontdek de geautomatiseerde tools die op de markt beschikbaar zijn en die u kunnen helpen uw nalevingsdoelen te bereiken. Vergelijk de functies, voordelen en prijsaanbieding van elk van de tools.