of 59147 LinkedIn

De AVG heeft een blijvende impact op organisaties. Ontdek in dit artikel waarom

De AVG heeft een blijvende impact op organisaties. Waarom de AVG ook na 25 mei relevant is.
Erasmus Academie Reageer

Waarom de AVG ook na 25 mei relevant is.

Herinnert u zich de tsunami aan AVG mails nog die u vlak voor 25 mei heeft ontvangen? Alle bedrijven beloofden zich keurig aan de regels te houden. Enkele maanden later is het verdacht stil rond deze ingrijpende wet. Een goede toepassing van de AVG is en blijft echter ook na 25 mei heel belangrijk. Roeland Reijers, Chief Information Security Officer a.i. bij de Universiteit en Hogeschool van Amsterdam en docent van onze Masterclass Privacy, data governance en de AVG legt uit waarom.

1. De AVG heeft een blijvende impact op een groot deel van uw organisatie

De AVG is een echte wet, waar ruim 5 jaar over is vergaderd, gelobbyd en veroordeeld. Deze wet gaat niet op korte termijn verdwijnen. De wet heeft impact op alle lagen van uw organisatie. Vanwege haar grote reikwijdte spelen veel verschillende stakeholders een rol bij het voldoen aan de AVG.

 

Om te kunnen voldoen aan de AVG, zult u op ieder moment moeten weten:

  • welke organisatieprocessen persoonsgegevens verwerken
  • of en hoe deze processen voldoen aan uw informatiebeveiligings- en privacybeleid
  • of de Privacy en Security by Design principes nog steeds worden gevolgd
  • welke verwerkingen u heeft uitbesteed aan externe verwerkers.

 

Privacy is net als informatiebeveiliging een onderwerp van uw directie/bestuur. Aan de FG en CISO wordt geadviseerd om jaarlijks verslag uit te brengen aan de directie en minimaal 2 keer per jaar met het bestuur te overleggen over de status van informatiebeveiliging en AVG compliancy.


2. U verplicht bent om sommige AVG gerelateerde processen opnieuw uit te voeren

De AVG is geen eenmalige exercitie, maar een proces. Dit geldt bijvoorbeeld voor het uitvoeren van een Data Protection Impact Assessment (DPIA). De DPIA is een instrument waarmee u vooraf de privacy risico’s van een gegevensverwerking in kaart brengt, zodat u daarna maatregelen kunt nemen om de risico’s te verkleinen. De Autoriteit Persoonsgegevens heeft richtlijnen opgesteldOpent extern voor het uitvoeren van een DPIA. Bij grote wijzigingen in de verwerking van persoonsgegevens kan het verplicht zijn om de DPIA te herzien, of er een uit te voeren als dat nog niet is gebeurd.

 

3. U moet blijven checken of de gemaakte afspraken in de verwerkersovereenkomsten worden nageleefd

Om te voorkomen dat een andere partij uw persoonsgegevens voor eigen doelen gaat verwerken sluit u een verwerkersovereenkomst af. In de verwerkersovereenkomsten stelt u vast aan welke beveiligingseisen de verwerker en haar subverwerkers moet voldoen. U heeft het recht om de verwerker te auditen of u heeft de verwerker verplicht om zich regelmatig te laten auditen op een bepaalde normering, bijvoorbeeld de ISO27001. Stel in ieder geval vast hoe vaak u uw verwerkers gaat of laat auditen of hoe vaak de verwerker u voorziet van een TPM verklaring of audit rapportage.

Heeft de verwerker nog steeds dezelfde subverwerkers? Heeft u daar toestemming voor gegeven? De AVG vereist dat u de gemaakte afspraken blijft checken.

 

4.  Wijzigingen in uw organisatie gevolgen kunnen hebben voor uw AVG beleid

Het kan zomaar zijn dat een afdeling in uw organisatie besluit om een deel van het proces uit te besteden. Daardoor krijgt u te maken met een nieuwe verwerker. Voldoet deze verwerker aan de eisen van de AVG? Deze verwerker maakt mogelijk ook gebruik van subverwerkers. Daar moet u toestemming voor geven. Ook als de verwerker wijzigt van subverwerker moet de verwerker u daar tijdig van op de hoogte stellen en dient u ook daar toestemming voor te geven, of u heeft de kans om uw proces bij een andere verwerker onder te brengen. Wanneer uw organisatie of verwerker wijzigingen doorvoert, vraag uzelf dan dus altijd af of dit invloed heeft op de AVG en of aanpassingen nodig zijn!

Meer informatie

Op vrijdag 2 november organiseert Erasmus Academie de derde editie van de masterclass Privacy, data governance. In deze verdiepende en praktische masterclass staat het doelgericht integreren van de AVG in uw organisatie(processen) centraal.

 

Meer weten?

Bekijk de opleidingspagina.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Afbeelding

Erasmus Academie

 

Telefoon: 010-408 1839

E-mail: info@erasmusacademie.nl

Website: www.erasmusacademie.nl


Agenda

Incompany

Opleiden wanneer het u uitkomt, op een locatie die u prettig vindt, op een manier die past bij u en uw collega's! Dat noemen we bij Erasmus Academie een incompanytraject.

Zoekt u een passende opleiding of een opleiding op maat bij u op kantoor? Bekijk dan nu de website van Erasmus Academie.

Nieuwsbrief

Wilt u op de hoogte blijven van het nieuws van Erasmus Academie? Schrijf u dan in voor de nieuwsbrief.

Meer nieuws

Contactgegevens

AfbeeldingPostadres:

Postbus 1738

3000 DR Rotterdam

Bezoekadres:

Van der Goot Building (M)
Kamer M6-13 - M6-20
Burg. Oudlaan 50 (Woudestein) 
3062 PA Rotterdam

 

Telefoon: 010-408 1839 (Ma-vr: 09:00-17:00 uur)

 

E-mail: info@erasmusacademie.nl
Internet: www.erasmusacademie.nl

Blijf op de hoogte:

 

Afbeelding Afbeelding Afbeelding

Afbeelding

Onze bloggers