Veel bedrijven voldoen niet aan de huidige Nederlandse wetgeving op het gebied van bescherming van persoonsgegeven. Laat staan dat deze bedrijven voorbereid of bewust zijn van de nog strengere AVG. De boetes (ook voor het niet melden) zijn enorm!

Meer achtergrond en details kunt u in dit artikel vinden:

Voldoet uw organisatie aan de AVG?

Hoe kunt u of uw organisatie voldoen aan de AVG? Om een globaal beeld te geven van de te nemen acties rondom de voorbereiding en uitvoering van de AVG hebben we een aantal belangrijke punten voor ZZP’ers en kleine bedrijven op een rijtje gezet.

ICT EN DE AVG:

Breng in kaart welke data er wordt verzameld.

Praktisch elk bedrijf is sinds de AVG verplicht een actueel register te hebben van alle persoonsgegevens. Het verwerkingsregister is een document waarbij alle verwerkingen binnen een bedrijf in kaart worden gebracht. Per leverancier moet er duidelijk zijn welke persoonsgegevens deze verwerken, met welke grondslag, wie er toegang toe hebben, welke beveiliging er wordt toegepast en er moet een geldige verwerkersovereenkomst zijn tussen u, de verwerkingsverantwoordelijke en het bedrijf dat deze data voor u verwerkt, de verwerker. Hieronder enkele voorbeelden van verwerkers.

• Contactformulier van uw website – heeft u een veilige website en veilige webhosting provider?
• Boekhoud programma
• E-mail – gebruikt u een veilige e-mail oplossing?
• Telefonie
• Overige digitale communicatie (skype, facebook messenger, whatapp…)
• Handmatig opgeslagen databases in Excel of word op een centrale server en op lokale computers

Reduceer de hoeveelheid opgeslagen data.

Het is dus van belang zo min mogelijk persoonsgegevens op te slaan van natuurlijke personen. Probeer hierbij dus de absolute minimum aan data aan te houden dat werkbaar is. En verwijder bij voorbaat alle data waar u geen expliciete toestemming of grondslag voor heeft. Anders kunt u sowieso niet voldoen aan de AVG! Zoals mailinglijsten die u in het verleden mocht aanleggen, dient u nu opnieuw toestemming voor te verkrijgen voordat u deze personen weer mag mailen of zelfs persoonsgegevens mag bewaren.

Reduceer het aantal medewerkers met toegang.

De toegang tot de tot deze gegevens beperken, zorg dat alleen die medewerkers toegang hebben die ook daadwerkelijk toegang moeten hebben voor het uitoefenen van hun werkzaamheden. Dit is vaak veel uitzoekwerk en vereist de nodige technische en IT-technische aanpassingen, maar is van groot belang om te kunnen voldoen aan de AVG.

Breng in kaart welke partijen toegang hebben tot uw bedrijfsdata

Als verantwoordelijke dient u ook te registreren welke leveranciers toegang hebben tot bedrijfsdata en daarmee ook toegang tot de door uw bedrijf verzamelde persoonsgegevens.

Met elke leverancier dient een verwerkersovereenkomst gesloten te worden waaruit blijkt hoe de bewerker (leverancier) met de data om moet gaan.

Ook dient vastgelegd te worden op welke manier deze data is beveiligd. Denk aan de beveiliging vanuit de leverancier, maar ook de beveiliging van de lokale computers die toegang hebben tot de systemen van de leverancier.

U moet dus ook echt vertrouwen in een leverancier hebben en niet maar een verwerkersovereenkomst opstellen omdat dat nu eenmaal moet!

Beveilig de toegang

Het is van belang een betrouwbare leverancier te kiezen. Denk aan zaken als encryptie en technische beveiligingsmethoden, maar ook fysieke toegangsbeveiliging.

Maar gaat het niet alleen om de toegang tot de data, maar ook de toegang tot de apparatuur via welke toegang wordt gelegd. Dus dit omvat diverse lagen en manieren van beveiliging. Voor het overgrote deel bent u zelf geheel verantwoordelijk. Slechts een gedeelte is de verantwoordelijkheid van uw leverancier.

Overige toegangspunten:

• Netwerk – wanneer is uw router voor het laatst geüpdatet?
• Computers – heeft u al een nieuwe bios update tegen meltdown, fallout en zombieload?
• Smartphones – versleuteld en met wachtwoord beveiligd?
• Vaste telefoon / telefooncentrale
• USB-sticks of andere data dragers – al afgeschaft of tenminste versleuteld?

Maakt u gebruik van verwerkers?

Voor verwerkers van data dient een aparte overeenkomst te worden afgesloten. Enkele voorbeelden, u huurt een bedrijf in voor de boekhouding, loon administratie of arbodienst die toegang hebben tot uw data en daarop een verwerking uitvoeren. Zorg voor een verwerkersovereenkomst! En zorg dat u op feiten gebaseerd vertrouwen heeft in het feit of u verwerker ook kan voldoen aan de AVG!

Plan van aanpak in geval van een datalek

Is er een plan van aanpak in het geval van een datalek? Wie is verantwoordelijk binnen de organisatie voor het maken van de melding aan de autoriteit? Wie analyseert welke data er precies is gelekt? En is er überhaupt wel een mogelijkheid tot het nagaan? Wie informeert de gedupeerden? Wie stelt verder onderzoek in? Etc.

Verwerking en hergebruik van IT apparatuur

IT afval als oude computers, defecte USB-sticks, defecte telefoons of apparatuur die door een andere medewerker weer gebruikt worden dienen vrijgemaakt te worden van data voordat er iets mee gedaan wordt. Zorg voor een veilige vernietiging van uw opslagmedia en veilige verwijdering van data op apparatuur die hergebruikt wordt (zowel binnen als buiten de organisatie!). Documenteer dit ook in het verplichte register!

Voorlichting van uw personeel

Het is van groot belang dat na het maken van een plan en het beveiliging van de data alle personeel met IT toegang voorgelicht wordt over de AVG. Het personeel is (na een goede beveiliging ingezet te hebben) namelijk de meest waarschijnlijke bron van de lek. Het personeel moet een contactpersoon hebben die de melding van een (mogelijk) lek intern kan melden zodat de organisatie aan haar wettelijke verplichtingen kan voldoen. Elk verdacht voorval dient beoordeeld te worden door een interne of externe medewerker met voldoende kennis van IT en wetgeving.