25 mei 2018 gaat de nieuwe Algemene Verordening Gegevens wet van kracht. Je hebt er ongetwijfeld al veel over gelezen en gehoord, maar wat betekent de komst van de AVG? De komende weken zal uit een serie blogs duidelijk worden welke consequenties er kleven aan de AVG en wat het precies betekent voor de verschillende rollen die een organisatie kan hebben wat betreft dataverwerking. In iedere blog komt een professional aan het woord die zal toelichten wat bedreigingen en kansen zijn voor iedere rol in de keten van gegevensverwerking. Deze week vertelt John Yonce, oprichter en Data Protection Officer van De Privacy Pro, over bedrijven met de rol van data verantwoordelijke.

Met een achtergrond als jurist en IT’er geeft John Yonce als De Privacy Pro adviezen aan bedrijven die data verantwoordelijk zijn. Volgens Yonce is het voor veel bedrijven een uitdaging om open en eerlijk te zijn over hun omgang met persoonsgegevens. “Zie investeren in informatiebeveiliging als een vorm van marketing: bij ons zijn je gegevens wel veilig”. Met certificeringen als ISO-9001 (management kwaliteitssystemen) en ISO-27001 (informatiebeveiliging) kun je aantonen dat je als bedrijf gereguleerd bent, en dus klaar bent voor de AVG. Ook Tripolis heeft al sinds 2007 deze certificeringen.

Wees voorbereid
Uit onderzoek blijkt dat 80% van de consumenten gebruik wil maken van hun rechten onder de nieuwe privacy wetgeving. Wees daarom als bedrijf voorbereid op verzoeken met betrekking tot het verstrekken van persoonsgegevens. “Zie dit als een stukje klantvriendelijkheid, zodat de hele organisatie zich verantwoordelijk voelt.” Daarnaast is het belangrijk om opt-in mogelijkheden specifieker te maken. De consument moet duidelijk weten waar hij ja of nee op zegt.

“Zie investeren in informatiebeveiliging als een vorm van marketing”

Datamapping
“Zorg dat je op de hoogte bent van welke gegevens je gebruikt en met welk doel. Maak een overzicht van welke partijen inzage hebben in de data die je gebruikt en breng dit onder in een verwerkingsregister”. Op deze manier heb je een duidelijk overzicht op het moment dat het nodig is. Leg deze informatie daarnaast vast in een privacy statement (een externe verklaring) en een privacy policy (een intern beleid).

Als laatste tip geeft Yonce mee: “Bekijk de checklist van de Information Commission Office. Bekijk wat al in orde is en waar je nog aandacht aan moet besteden om je organisatie AVG proof te maken.”

Volgende week in AVG: wat moet je ermee? vertelt Remco Groen van Tripolis over de kansen die de AVG biedt.

Deel I of II gemist? Lees ze hier.