7 stappen die u voorbereiden op de AVG

Waar het uiteindelijk op neer komt of er aan de nieuwe AVG wordt voldaan; Kan uw organisatie in een rechtbank de acties en processen die u heeft genomen om AVG te implementeren voldoende verdedigen; Waardoor de kans op aansprakelijkheid en een boete wordt verminderd.

Voldoen aan de AVG houdt in het proactief implementeren van het juiste personeel, procedures en processen om ervoor te zorgen dat gegevens adequaat worden beschermd en behandeld; In plaats van te worden behandeld als ad-hoc en last-minute overweging.

Om te kunnen voldoen aan de in de AVG gestelde richtlijnen of deze te overtreffen gaat om het uitvoeren van effectbeoordelingen op het gebied van gegevensbescherming (zie artikel 35) en het introduceren van aanvullende technologie (Document Management systemen, versleuteling, beveiligd transport en opslag van gegevens, enz.).

Meer weten over AVG?

Aansprakelijkheid

Bedrijven zouden AVG moeten gebruiken als een hoeksteen voor hun risicobeperkingsproces. Er is geen mogelijkheid meer voor de aansprakelijkheid weg te lopen, aangezien zowel de beheerder als de onderaannemer gelijkwaardig zijn voor een inbreuk op gegevens (zie artikelen 24, 26, 27, 28 en 29).

Helaas, hebben veel organisaties last van een wildgroei van ongestructureerde en ongeautoriseerde applicaties die gebruikt worden om bestanden op te slaan en te beheren. Dit leidt tot verhoogde veiligheidsrisico’s en verminderde productiviteit en informatiebeschikbaarheid binnen een organisatie. Bijkomend voordeel van voldoen aan de AVG is voor de organisatie dat ze meer inzicht, flexibiliteit en controle hebben over de gegevens, documenten, data en content.

De onderstaande aanbevelingen / acties zullen helpen om de nieuwe regels te begrijpen en te interpreteren en één enkel strategisch, gestructureerd, top-down, beleid en overzicht van geclassificeerde persoonlijke geïdentificeerde informatie te hebben.

Er zijn enkele basis- en kernaanbevelingen die PuntNL Groep voorstelt om de boete te vermijden en ervoor te zorgen dat uw organisatie aan de AVG voldoet. Neem daarom de volgende stappen in overweging.

1. Stel een verantwoordelijke aan

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie vereist is;

  • a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  • b) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • c) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

Zo ja, wacht dan niet te lang met het werven van een FG.

Om ervoor te zorgen dat uw organisatie de wetgeving nakomt en onderhoudt is het van belang dat de aangestelde persoon een professional is op het gebied van gegevensbescherming met deskundige kennis en ervaring op de gegevensbeschermingswetgeving

De aangewezen persoon zal een strategie en project moeten implementeren, met als hoofddoel het voldoen aan / overtreffen van AVG-naleving. Het project moet organisatorische, procedurele en technische maatregelen uitvoeren en vastleggen om aan de controle eis te voldoen.

2. Informeer uzelf en uw organisatie

De AVG wordt op 25 mei 2018 actief. Het is daarom van essentieel belang dat u zich nu op de hoogte stelt en op de hoogte blijft van de informatie betreffende de AVG. Er is een enorme hoeveelheid informatie en begeleiding met betrekking tot de AVG te vinden op de website van de Autoriteit Persoonsgegevens.

Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige   processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare mankracht en middelen en begin er daarom op tijd mee.

De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven, zoals guidelines die zijn opgesteld samen met de andere privacy toezichthouders in Europa. Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

3. Onderzoek

De AVG geeft niet veel exacte aanwijzingen over welke technologie (zie de overwegingen 66, 67, 68, 71, 78, 81, 156, 168) en beveiliging (zie artikel 32)  moet worden toegepast gegevensbescherming te bereiken. Daarentegen wordt het omschreven als ‘ Rekening houdend met de stand van de techniek,

treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

De onduidelijkheid van de AVG met betrekking tot de precieze invulling van technologie / technologieën die moeten worden gebruikt, maakt de interpretatie van de verordening lastig.

Dat gezegd hebbende, is het logisch om te stellen dat de implementatie van een technische oplossing de naleving van de AVG zal vereenvoudigen en efficiënter maken in vergelijking met handmatige verwerking. Het is hoogstwaarschijnlijk ook de meest kosteneffectieve optie voor de toekomst om aan de onderstaande eisen te kunnen voldoen:

  • A) gegevens juistheid (Artikel 5 – actuele data)
  • B) Recht van inzage (Artikel 15 – het vermogen van een bedrijf om aan een ​​aanvraag tot inzage van gegevens te voldoen)
  • C) Recht van rectificatie en wissen van gegevens (ook bekend als recht op vergetelheid) (zie artikelen 16 en 17).

Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een documentatieplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. U kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen.

Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.

Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen?

Technologie zal u helpen dit te bereiken.

4. Technologie

In een organisatie kunnen een groot aantal toegangs- en uitgangspunten bestaan waaruit gegevens, waaronder persoonsgegevens, kunnen vloeien. Deze omvatten naast elektronisch (e-documenten) ook de traditionele papierformaten. Het is belangrijk om te begrijpen waar deze gegevens worden vastgelegd, verwerkt, uitgevoerd en behouden. Het uitvoeren van een grondig onderzoek hiervan met bijzondere aandacht voor de persoonsgegevens, is de eerste stap naar een goed record management systeem dat voldoet aan de richtlijnen van AVG.

Behandeling van persoonsgegevens moet beperkt blijven tot wat nodig is en gekoppeld is aan het doel ervan (data minimalisatie en opslag beperking principes). Onder de AVG is er een nieuwe documentatieplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt.

5. DMS / ECM

De implementatie van technologie, zoals een elektronisch document of content management systeem, kan een van de belangrijkste enablers zijn bij het omgaan met persoonsgegevens binnen de AVG.

Bij het selecteren van een dergelijk systeem, zijn er onderstaande richtlijnen die u kunnen helpen:

  • A. Vertrouwelijkheid
    Door informatie te beschermen tegen onbevoegde toegang en openbaarmaking.
  • B. Integriteit
    Door de juistheid en volledigheid van de informatie te waarborgen en zijn onbevoegde wijziging of verwijdering te voorkomen.
  • C. Beschikbaarheid
    Door te garanderen dat gegevens en bijbehorende diensten veilig zijn voor geautoriseerde gebruikers, wanneer en waar nodig.
  • D. Register van de verwerkingsactiviteiten
    Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden

Een document management oplossing moet:

  • voorzien zijn van een geïntegreerde beveiliging en compliance (privacy by design & privacy by default) vanaf het begin van de vastlegging (data capture), gedurende het gehele proces (data integratie) tot het verwijderen van de gegevens (data deletion)
  • Gebruikers het vertrouwen geven dat wat ze doen veilig is door beveiligingssleutels, twee stappen verificatie, tokens en encryptie te implementeren.
  • De kans op datalekken verminderen door document types te scheiden.
    Classificeer en definieer gegevens bij vastlegging. Worden de gegevens als persoonlijk beschouwd en wat is de minimale en maximale bewaar termijn (retentieplan). Op deze manier worden gegevens voordat ze in het DMS worden opgeslagen en verwerkt kunnen worden voorzien van de juiste classificatie van privégegevens en de retentieregels eromheen, waardoor de kans op datalekken, hackeraanvallen, interne dreigingen en diefstal aanzienlijk afnemen of worden voorkomen.
  • De persoonsgegevens op een veilige manier maar eenvoudig vindbaar voor geautoriseerde verwerkers bewaren.
  • Inzichtelijk maken wie toegang heeft (gehad) tot persoonlijke gegevens en welke verwerkingen er zijn uitgevoerd (audit trail).

6. Versleuteling

Network Data Monitoring
Doordat moderne multifunctionals intelligentie bevatten in de vorm van een besturingssysteem, maakt dit ze een potentieel doelwit voor cyberbedreiging en voor diefstal van zowel gegevens als gebruikers- en netwerkinformatie.

Met behulp van enterprise grade beveiliging binnen het netwerk kan al het binnenkomende en uitgaande verkeer naar de MFP-vloot worden gemonitord op mogelijke bedreigingen.

Malware overschaduwt inmiddels de traditionele virussen als de meest voorkomende bedreiging op het internet. Nieuwe generaties van geavanceerde malware worden vaak aangeduid als Advanced Persistent Threats (APTs).

7. Continuïteits- / verbeteringsplan

Versleuteling (encryptie) is een van de technologieën die specifiek in AVG zijn genoemd, als een beveiliging tegen verlies van persoonsgegevens, en daarom belangrijk tegen een organisatorische datalek. Versleuteling is belangrijk, omdat in het geval van een datalek, de AVG zegt dat de indien de persoonsgegevens onbegrijpelijk gemaakt zijn voor onbevoegden door versleuteling de organisatie niet verplicht is om de betrokken in kennis te stellen.

Informatie op dataopslag, netwerkarchitecturen en randapparatuur zoals pc’s, USB-sticks en MFP’s en printers moeten worden gecodeerd om gegevens te beveiligen.

Is uw outputomgeving veilig?

Printers en multifunctionele apparaten (MFP’s) zijn intelligente netwerk geconnecteerde machines die net zoals een pc, een scherm, een toetsenbord, een harde schijf (die mogelijk gevoelige informatie kunnen opslaan) en een besturingssysteem bevatten. Dit maakt ze een even belangrijk onderdeel van uw AVG-beleid.

Bereid u voor op AVG

Er zijn enkele basis- en kernaanbevelingen die KYOCERA doet om een boete te vermijden en ervoor te zorgen dat uw organisatie AVG klaar is.

AVG 10 belangrijkste feiten

Ontdek de 10 belangrijkste AVG kenmerken en wijzigingen in de Europese Gegevensbeschermingsrichtlijn en welke invloed ze op u kunnen hebben.

Meer weten?

Neem gratis en vrijblijvend contact met ons op.

Voor algemene vragen, offertes maar ook specifieke vraagstukken met betrekking tot Kyocera printers of andere producten of diensten.

Bij PuntNL Groep bieden wij kantoorapparatuur, zoals draadloze printers en kopieermachines, ICT- en documentoplossingen. Maar eerst hebben we het over uw bedrijf. Hoe worden uw mensen ingezet, hoe verlopen de bedrijfsprocessen, hoe verwerkt u documenten? Voor de beste oplossing gaan wij graag met u in gesprek.

Contact

PuntNL Groep
Postbus 5038
9700 GA Groningen

Bezoekadres:
De Kiel 8
9206 BG Drachten

T: 050 - 577 57 19
F: 050 - 577 51 88
E: info@puntnlgroep.nl

x

Wij gebruiken cookies om u de beste online ervaring te bieden. Door akkoord te gaan, accepteert u het gebruik van cookies in overeenstemming met ons cookiebeleid.