AVG/GDPR, de integrale aanpak

OP 25 mei 2018 heeft er een belangrijke wijziging plaats gevonden op het gebied van privacywetgeving. Organisaties in Nederland moeten sinds deze datum voldoen aan de Algemene Verordening Gegevensbescherming (AVG) / General Data Protection Regulation (GDPR). De GDPR stelt strenge eisen aan het verwerken van persoonsgegevens. Hoffmann en QSight IT kunnen u ondersteunen bij het compliant worden aan deze wetgeving.

Advies en implementatie

Op basis van de GDPR wetgeving hebben Hoffmann en QSight IT een stappenplan ontwikkeld om aan de nieuwe GDPR eisen te kunnen voldoen. Dit plan bestaat uit de volgende elementen:

  1. Scope bepalen;
  2. GDPR nulmeting;
  3. Implementeren maatregelen;
  4. Inregelen plan-do-check-act cyclus.   

Scope bepalen
Belangrijk is om eerst te bepalen welke impact de GDPR op uw organisatie heeft. In deze fase stelt u vast welke verwerkingen van persoonsgegevens er plaats-vinden binnen uw organisatie. Vervolgens kijkt u naar de verschillende aspecten van deze verwerking zoals de rol die u heeft (verwerker of verwerkingsverantwoordelijke), het doel en grondslag van de verwerking en of u naast ‘gewone’ persoonsgegevens ook bijzondere persoonsgegevens verwerkt. Om de scope compleet te maken inventariseert u waar in uw ICT infrastructuur de gegevens worden opgeslagen en verwerkt.

Hoffmann kan u in deze fase ondersteunen en u helpen bij het bepalen van uw scope. De output wordt vastgelegd in een GDPR verwerkingsregister.

GDPR nulmeting 
Zodra de scope duidelijk is, kunt u een nulmeting uitvoeren ten aanzien van de verplichte GDPR maatregelen. Deze nulmeting bestaat uit 5 onderdelen:

  1. Data Privacy Impact Assessments uitvoeren. Hierin moet ook gekeken worden naar de rechten van betrokkenen zoals inzage, correctie, verwijdering en data portabiliteit;
  2. Noodzaak en eventuele aanwezigheid verwerkingsregister vaststellen;
  3. Noodzaak en eventuele aanwezigheid Data Protection Officer (DPO) vaststellen;
  4. Procedures en beleid checken;
  5. Accountability checken: is de aantoonbaarheid ingeregeld?

Niet alle onderdelen van de GDPR zijn voor iedere organisatie verplicht. Deze zijn mede afhankelijk van de omvang van uw organisatie en de persoonsgegevens die u verwerkt. Hoffmann kan de nulmeting voor u uitvoeren. De uitkomst van een GDPR nulmeting is een GAP analyse en een op uw organisatie gebaseerde privacy roadmap waarin is vastgelegd welke zaken u dient te regelen om GDPR compliant te worden.

Implementeren maatregelen
Uit de nulmeting zal waarschijnlijk naar voren komen dat u diverse procedures en beleid zult moeten gaan vastleggen, aanpassingen moet doen aan de technische maatregelen die u getroffen heeft en de werkwijze en het gedrag van uw medewerkers verder zult moeten ontwikkelen. Hoffmann en QSight IT kunnen u op al deze drie onderdelen ondersteuning bieden.

Inregelen plan-do-check-act cyclus
Tot slot is het van belang dat u niet alleen compliant bent, maar het ook blijft. Gezamenlijk stellen wij vast welke procedures er nodig zijn om een continu controle- en verbeterproces in te regelen binnen uw organisatie. Hierbij kan, indien gewenst, gebruik gemaakt worden van certificeringen zoals bijvoorbeeld ISO 27001/2 en NEN 7510.

Download hier de brochure GDPR, de integrale aanpak.