Organisaties moeten vanaf volgend jaar hun administratie op orde hebben, losslingerende persoonsgegevens kunnen tot fikse boetes leiden door de entree van de Algemene Verordening Gegevensbescherming (AVG). Executive Finance biedt u tien tips om u als (financieel) leidinggevende voor te bereiden op de risico’s.
De Algemene Verordening Gegevensbescherming (AVG) gaat per 25 mei 2018 in. Over minder dan een jaar geldt dus dezelfde privacywetgeving in de hele Europese Unie. Bedrijven kunnen boetes krijgen die kunnen oplopen tot 20 miljoen euro of 4 procent van de jaaromzet. Hoe kunt u als CFO deze risico’s beperken?
Zie ook: Risicogestuurd werken: ‘Fabels bieden op z’n best de illusie van zekerheid’
De Autoriteit Persoonsgegevens (AP) heeft tien aandachtspunten benoemd die organisaties kunnen helpen in de voorbereidingen op de nieuwe Europese privacywetgeving.
1. Bewustwording
Zorg ervoor dat werkgevers en werknemers bekend worden met de nieuwe privacyregels, zodat zij weten wat er van hen wordt verwacht.
2. Rechten van betrokkenen
Houd alvast rekening met de extra privacy rechten die mensen krijgen door de nieuwe wetgeving, zodat u klaar bent wanneer men zich hierop beroept.
3. Overzicht verwerkingen
Maak inzichtelijk hoe en welke persoonsgegevens uw organisatie verwerkt. Het moet duidelijk zijn welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang hebben tot die gegevens.
4. Privacy impact assessment (PIA)
Maak een PIA, want volgens de AVG zijn bedrijven verplicht om vooraf de risico’s van gegevensverwerking in kaart te brengen.
5. Privacy by design en privacy by default
Houd bij het ontwerpen van (nieuwe) producten en diensten rekening met de bescherming van privacygevoelige informatie. Privacy by default houdt in dat je alleen die persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel.
6. Functionaris voor de gegevensbescherming
Stel een functionaris aan die zich specifiek richt op de verwerking van (persoons)gegevens. De AVG kan organisaties verplichten om zo’n functionaris aan te stellen. Het is voor organisaties raadzaam om nu al te inventariseren of dat wenselijk is en om dan alvast te starten met een wervingsprocedure.
7. Meldplicht datalekken
Herijk uw procedures voor het documenteren en melden van datalekken. Want in de AVG wordt de meldplicht datalekken uitgebreid met de verplichting om alle datalekken te documenteren, zodat de Autoriteit Persoonsgegevens dit kan controleren.
8. Bewerkersovereenkomsten
Zorg ervoor dat u een bewerkingsovereenkomst hebt met iedere organisatie die persoonsgegevens voor u verwerkt. Heeft u al bewerkingsovereenkomsten dan is het verstandig om deze te controleren of ze nog voldoen aan de vereisten van de AVG.
9. Leidende toezichthouder
Bepaal uw leidende privacy toezichthouder. Als uw organisatie in meerdere EU-landen actief is, dan hoeft u maar met één privacy toezichthouder zaken te doen: de leidende toezichthouder.
10. Toestemming
Evalueer de manier waarop u mensen toestemming vraagt voor het verwerken van hun persoonsgegevens. De nieuwe wetgeving stelt strengere eisen aan de toestemming die mensen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop u toestemming vraagt, krijgt en registreert. Want u moet later kunnen aantonen er geldige toestemming van mensen is gekregen.
