Is uw bedrijf klaar voor AVG?

Op 25 mei 2018 wordt de nieuwe Europese privacyregeling van kracht: de General Data Protection Regulation (GDPR), in Nederland ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd.

In de afgelopen maanden wordt er al steeds meer over gecommuniceerd, maar wat betekent dit nu precies voor uw bedrijf? In dit nieuwsbericht denken wij graag met u mee en daar waar nodig geven wij ondersteuning in eventuele benodigde verbeteringen aan uw netwerk.

Wat houdt de AVG in?

Bij het verwerken van persoonsgegevens moeten ‘passende technische en organisatorische maatregelen’ worden genomen om de privacy van betrokkenen te beschermen. Hoe hoger de privacy risico’s van de verwerkingen, hoe zwaarder de maatregelen die moeten worden genomen.
Deze nieuwe wetgeving heeft drie grote raakvlakken binnen uw bedrijf,

  1. Databeheer
  2. Organisatie
  3. Netwerk

AVG en databeheer

Het is belangrijk om de herkomst van alle persoonlijke gegevens binnen het bedrijf in kaart te brengen, evenals waar en hoe deze informatie wordt opgeslagen. Het is ook van belang om vast te leggen waar de gegevens specifiek voor worden toegepast. Gegevens die niet meer van toepassing zijn moeten ook weer worden verwijderd.

Een onderdeel van de nieuwe wetgeving is ook ‘het recht op vergetelheid’, personen kunnen op basis van dit recht ook een verzoek indien om persoonlijke gegevens te verwijderen. Hierbij geldt dat een eventuele van toepassing zijnde financiële bewaarplicht zwaarder weegt dan het recht op vergetelheid.

Indien persoonlijke gegevens door een externe partij worden beheerd, dan dient er een bewerkersovereenkomst te worden ingevuld waarmee de wederzijdse rechten en verplichtingen worden vastgelegd. Op de website van Autoriteit Persoonsgegevens zijn alle voorwaarden gedetailleerd omschreven.

AVG en uw organisatie

Na de analyse van de persoonlijke gegevens volgt de vraag: wie heeft toegang tot welke data binnen uw bedrijf? En worden deze gegevens nog verder bewerkt doorgestuurd? Door concrete werkafspraken te maken kan in ieder geval worden vastgelegd wat wel en niet is toegestaan bij eventuele verdere bewerking van de persoonsdata.

Met een kritische interne blik kan worden gecontroleerd of de Data wel op de juiste plaats is gearchiveerd. Vervolgens kan met behulp van een juiste rechtenindeling een onderverdeling worden gemaakt wie tot welke data precies toegang heeft.

Ook de genoemde verantwoordingsplicht valt onder de organisatie: documenteer alle analyses, werkafspraken en netwerkverbeteringen waarmee kan worden aangetoond dat de juiste organisatorische en technische maatregelen zijn genomen om aan de AGV te voldoen.

Rijsdijk-ICT zou ondersteuning kunnen bieden bij bijvoorbeeld:

  1. Profielbeheer (ten behoeve van een juiste rechtenindeling)
  2. Schijfbeheer (ondersteuning bij een nieuwe schijvenindeling)

AVG en uw netwerk

Als laatste volgt de vraag: is de data ook goed beschermd? Is de huidige beveiliging van uw netwerk afdoende of is dit het moment om een aantal aanvullende maatregelen te nemen waarmee gelijk ook aan de verplichtingen van AGV is voldaan?
Neem bijvoorbeeld de huidige virusbedreigingen. De impact van een virusbesmetting wordt steeds groter waarbij een externe back-up , al dan niet offline, van levensbelang kan zijn voor uw bedrijf.

Er zijn een aantal veel voorkomende netwerkverbeteringen die bij een analyse t.b.v. AGV naar voren komen:

  1. Wifi (gebruikt u gescheiden netwerken?)
  2. Externe toegang (is uw beveiliging afdoende ingesteld?)
  3. Back-up (Is er externe back-up aanwezig?)
  4. Netwerk inrichting (Is er een overzicht van de rechten van gebruikers?) 

Rijsdijk-ICT biedt uw een gratis veiligheidsanalyse aan. De uitkomst zal met u worden besproken waarna het voor u duidelijk is of uw netwerk voldoende is beveiligd.

DISCLAIMER: DE INHOUD VAN DIT ARTIKEL DIENT ENKEL TER INFORMATIE EN NIET ALS JURISDISCH ADVIES.