Skip to main content

‘Implementatie AVG: een praktische aanpak’ Interessant!

16 februari 2018

Op 2 november hield AuditPeople een event voor Auditors, Riskmanagers en Compliance specialisten. Het event had de titel: ‘Implementatie AVG: Een praktische aanpak’. In dit artikel zullen alle onderwerpen die besproken zijn tijdens het event samengevat worden. Zoals ondertussen welbekend vervangt de Algemene Verordening Gegevensbescherming (AVG), in Europa bekend als: General Dataprotection Regulation (GDPR), per 25 mei van dit jaar de huidige Wet Bescherming Persoongegegevens (Wbp). Tijdens het event werden de deelnemers meegenomen in de wereld van de verschillen tussen de Wbp en de AVG en de implementatie van de AVG door John Storms en Margreet Löwik. John en Margreet houden zich in hun dagelijkse werk bezig met de implementatie van de AVG.

Allereerst is tijdens het event besproken waarom de AVG wordt ingevoerd. De huidige Wbp stamt uit 1995, dit is een behoorlijke tijd terug. Zeker met het oog op de technologische ontwikkelingen die sinds 1995 hebben plaats gevonden. Dankzij deze ontwikkelingen, zoals mobile devices en Internet of Things, laten wij steeds meer gegevens op steeds meer verschillende plekken achter. Hierdoor ontstaan de volgende vragen: ‘Waar komen deze gegevens terecht?’, ‘Wat gebeurt er met deze gegevens?’ en ‘Zijn ze goed beveiligd?’. Tot slot, zijn er tegenwoordig vaker incidenten omtrent data lekken; dit is voor de Europese Unie een reden geweest om nieuwe wetgeving te ontwikkelen.

Vervolgens was er aandacht voor de verschillen tussen de Wbp en de AVG. Een aantal besproken verschillen zijn:

Tot slot was er tijdens het event ook aandacht voor de implementatie van de AVG. Het is van belang om een gefaseerde aanpak te hanteren, start bijvoorbeeld eerst met een GAP analyse: ‘waar zitten de verwerkingen binnen uw bedrijf met gevoelige gegevens?’. Om dit inzicht te verkrijgen, gaf John in zijn presentatie aan dat een goed startpunt van de implementatie het aanhouden van een eigen register met persoonsverwerkingen kan zijn. In dit register worden immers alle verwerkingen bijgehouden. Ook is er op dit moment tooling beschikbaar die kan helpen bij het verkrijgen van dit overzicht. Tijdens de presentatie kwam de tool PrivacyPerfect aan bod.

Nadat dit inzicht is verkregen, kan er gebruik worden gemaakt van what-if scenario’s, waardoor het mogelijk is om heel concreet inzicht te krijgen in bijvoorbeeld de gevolgen van de verschillende rechten van betrokkenen. Deze scenario’s kunnen vervolgens het startpunt zijn voor een verdere ontwikkeling van het beleid omtrent de verwerking van persoonsgegevens.

Los van deze verschillende fasen tijdens de implementatie van de AVG, is het van belang om het volledige commitment van de Raad van Bestuur van de organisatie te hebben. Dankzij het feit dat veel organisaties met de implementatie van de AVG eigenlijk ook bezig zijn met een inhaalslag ten opzichte van de Wbp, moeten er snel veel keuzes gemaakt kunnen worden. De ervaring leert dat dit gemakkelijker gaat met het commitment van de Raad van Bestuur.

John Storms schreef al eens eerder over de implementatie van de AVG. Lees hier zijn volledige artikel: https://www.auditpeople.nl/nieuws/implementatie-avg/.

Clarissa van der Most. Clarissa is audit trainee bij AuditPeople.

ARC People verbindt drie sterke labels: AuditPeople, RiskPeople en CompliancePeople. Ieder van deze labels focust op een eigen specialistisch vakgebied. Opdrachtgevers worden vanuit die specialismes voorzien in de juiste mensen en kennis. www.arcpeople.nl