Print:

AVG: 5 do’s voor compliance

Ferry Waterkamp, Journalist

LinkedIn profiel

De Algemene Verordening Gegevensbescherming naleven om torenhoge boetes te voorkomen? Information Security Officer Joseph Mager van NS ziet het veel breder. “Compliance met de AVG helpt je om aan je zorgplicht richting klanten en medewerkers te voldoen en maakt informatiebeveiliging efficiënter.” Redenen genoeg om snel stappen te zetten.

Tijdens het IIR-congres ‘AVG Countdown’ op 21 februari 2018 deelt Mager onder andere de ‘do’s en don’ts’ in aanloop naar 25 mei 2018, de dag waarop organisaties moeten voldoen aan de AVG. Of die zijn ontleend aan de NS-praktijk? “Deze tips zijn zeker niet alleen ontleend aan de NS-praktijk. Ik denk dat het ‘good practices’ zijn waar de meeste security- en privacyprofessionals het wel over eens zijn.”

Mager haalt enkele voorbeelden van de ‘do’s’ aan:

  1. Zorg voor interne afstemming

“Interne afstemming is nodig om ervoor te zorgen dat organisatorische ontwikkelingen passen binnen het privacybeleid en dat nieuwe beleidsonderdelen ook weer worden ingebed in de bestaande organisatie”, aldus Mager. “Binnen NS vervul ik daarom als Information Security Officer een brugfunctie richting het Privacy Office. Ik leg daarbij ook de link tussen het AVG-programma en de lijnorganisatie, zodat die betrokken blijft.”

  1. Breng verwerkingen van persoonsgegevens goed in beeld

“Nog meer dan de Wet bescherming persoonsgegevens (Wbp) vereist de AVG dat organisaties een goed beeld hebben van de persoonsgegevens die ze verzamelen en wat ze daarmee doen. Dat overzicht zorgt ervoor dat je kunt aantonen dat je in control bent en ondersteunt je bij het bepalen van de stappen die nodig zijn om de bescherming van persoonsgegevens te verbeteren.”

Deze exercitie helpt volgens Mager ook bij het vervullen van de ‘zorgplicht’ die organisaties hebben richting klanten en medewerkers. “Zij verdienen een goede behandeling en daar hoort ook een veilige omgang met persoonsgegevens bij. De AVG maakt je bewuster van wat persoonsgegevens zijn, wat je ermee mag doen en waarom je er zorgvuldig mee om moet gaan.”

  1. Verwerk niet meer gegevens dan noodzakelijk

“Verzamel alleen de informatie die je nodig hebt, dan hoef je ook minder te beveiligen.” Volgens Mager is dit een voorbeeld van hoe privacy en security elkaar versterken. “Door dataminimalisatie wordt je informatiebeveiliging efficiënter. Als je minder gevoelige gegevens hebt, kun je die ook anders beveiligen . En als een zorgvuldige omgang met persoonsgegevens een vanzelfsprekendheid wordt, gaan medewerkers ook zorgvuldiger om met bedrijfsgegevens.”

  1. Maak optimaal gebruik van bestaande processen

“Net zoals onder de Wbp moet je ook onder de AVG datalekken melden bij de Autoriteit Persoonsgegevens. Kijk of je dat proces kunt toevoegen aan bestaande incidentmanagementprocessen door er stappen aan toe te voegen. Hetzelfde geldt voor bijvoorbeeld privacy by design. Dat kun je meenemen in je changemanagementproces. Voorkom dat er aparte processen ontstaan door te bouwen met de zaken die er al zijn.”

  1. Zorg voor de juiste prioriteiten

“Voor de meeste mensen zijn de activiteiten die voortvloeien uit de AVG iets wat ze erbij krijgen. Zorg ervoor dat de AVG de juiste attentiewaarde krijgt zonder dat andere belangrijke werkzaamheden in het gedrang komen.”

“En raak vooral niet in paniek nu de tijd snel wegtikt”, besluit Mager. “Blijf altijd afgewogen beslissingen nemen, gebaseerd op de risico’s die personen lopen als de bescherming van persoonsgegevens in gevaar komt.”

Meer do’s en don’ts in aanloop naar 25 mei 2018? Bezoek dan op 21 en 22 februari 2018 het IIR-congres ‘AVG Countdown’ in Amsterdam.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten