De introductie van de Algemene Verordening Gegevensbescherming (AVG) kan tot forse boetes leiden. D
e nieuwe privacywetgeving verdient de aandacht om mogelijke consequenties te voorkomen. PwC-expert Yvette van Gemerden geeft een stappenplan.
Eerder kwam reeds aan het licht dat de onwetendheid over de Algemene verordening gegevensbescherming (AVG) groot is. Zes op de tien mkb-bedrijven zijn er niet van op de hoogte dat ze over ruim negen maanden moeten voldoen aan de nieuwe Europese privacywetgeving die tot enorme boetes kan leiden. PwC-expert Yvette van Gemerden geeft een stappenplan voor ondernemers. ‘Die bedrijven hebben de nieuwe privacywetgeving erg onderschat.’
Zie ook: AVG: 10 tips om forse boetes te voorkomen
1. Creëer awareness
‘Zorg dat iedereen binnen de organisatie zich bewust is van de veranderingen en de mogelijke consequenties als men geen actie onderneemt. De meest logische persoon die dit in gang zet, is de cio. Of het hoofd van de juridische afdeling. Breng de wetgeving ook onder de aandacht van het bestuur. Belangrijk is dat er budget beschikbaar komt en dat duidelijk is wie verantwoordelijk wordt voor de hele implementatie. In veel gevallen richt een bedrijf een stuurgroep of privacy office in met vertegenwoordiging vanuit meerdere disciplines, zoals IT/security, compliance en/of legal. Het is belangrijk dat niet uitsluitend de mogelijke boetes de drijfveer zijn, maar vooral ook de gevolgen voor betrokkenen en de organisatie als geheel.’
2. Maak een plan van aanpak
‘Inventariseer welke afdelingen binnen de organisatie bij de implementatie van AVG moeten worden betrokken. Bedenk daarbij dat de nieuwe privacyregels op de hele organisatie van invloed zijn. Dus naast de IT- afdeling moeten zeker ook marketing, verkoop, hr en de juridische afdeling worden betrokken.’
3. Bepaal de huidige situatie
‘Breng in kaart waar en in welke systemen persoonsgevens binnen de organisatie zijn opgeslagen, voor welke doeleinden dat gebeurt en naar welke derde partijen ze mogelijk worden doorgestuurd (datamapping). Deze mag niet worden onderschat. Het kost veel tijd om alle systemen waarin persoonsgegevens worden verwerkt, in kaart te brengen en die te classificeren. Dit is echter wel een belangrijk vereiste in de AVG en tevens een noodzakelijke voorwaarde om aan de overige verplichtingen in de AVG te kunnen voldoen.’
4. Identificeer de noodzakelijke maatregelen
‘Met een eenvoudige nulmeting zijn de noodzakelijke activiteiten te identificeren om tot de gewenste staat van compliance te komen.’
5. Ga aan de slag
‘Als u weet welke aanpassingen u moet doorvoeren om aan de regelgeving te voldoen, is het verstandig een duidelijke roadmap op te stellen gebaseerd op een prioritering van de risico’s. Systemen waarin de grootste hoeveelheden en de meest gevoelige persoonsgegevens worden verwerkt en die het meest kwetsbaar zijn voor datalekken, moeten u eerst beoordelen.
Bij dit alles is het belangrijk dat de organisatie steeds duidelijke keuzes maakt bij de verwerking van persoonsgegevens en duidelijk vastlegt voor welke doeleinden ze worden gebruikt. Voor een reisorganisatie zijn andere gegevens interessant dan voor een financiële instelling.
‘Er heerst paniek’, was deze week de boodschap in de berichtgeving. In paniek raken is nog niet nodig, maar het is voor bedrijven wel zaak dat ze snel de juiste voorbereidingen treffen als ze dat nog niet hebben gedaan. De wekker op ‘snooze’ zetten, is geen optie meer.’
Bron: CMweb.nl