In mei 2018 wordt de nieuwe pan-Europese privacywetgeving van kracht. Die wet eist dat je voldoende organisatorische en technische maatregelen hebt getroffen om persoonlijke data zo goed mogelijk te beschermen. Je moet die privacybescherming niet alleen op orde hebben, maar dit ook op ieder moment zelf kunnen aantonen.

Dat betekent nogal wat. Waar voorheen de Autoriteit Persoonsgegevens onderzocht of je je aan de wet hield, moet je dat nu zelf kunnen aantonen. Je moet risico's inzichtelijk maken en de gegevensverwerking in kaart brengen en deze up-to-date houden, zodat je op elk moment verantwoording kunt afleggen. Vrijwillig is het niet, want bij aantoonbare nalatigheid kun je forse boetes verwachten.

Deze 5 zaken moet je minimaal op orde hebben om zelf compliance aan te tonen:

1. Register van gegevensverwerkingen

Een belangrijke eis is het register van gegevensverwerkingen. Dat is een overzicht waarin je aantoont welke data er allemaal in jouw bedrijf verwerkt worden, met welk doel dat gebeurt, en waar deze data zich bevinden. Denk aan het eigen datacenter, maar ook aan de cloud, mobiele apparaten en aan partners of leveranciers waarmee je samenwerkt. Controleer hierbij of de verwerking van deze persoonsgegevens voldoende is gedocumenteerd om aan de eisen van de nieuwe wetgeving te voldoen.

2. Risicoanalyses

Zijn er persoonsgegevens waarbij het aannemelijk is dat de betrokkenen privacyrisico's lopen, mocht er iets mee gebeuren? Dan moet je deze risico's zorgvuldig in kaart brengen met een zogeheten 'Privacy Impact Assesment' (PIA). Dat moet je steeds opnieuw doen bij bijvoorbeeld grote wijzigingen in de gegevensverwerking, of bijvoorbeeld de ingebruikname van nieuwe software of andere technologie.

3. Verwerkersovereenkomsten

Zijn er derde partijen betrokken bij de verwerking van persoonsgegevens, zoals een partner, leverancier, of een cloudprovider? In dat geval zijn alle partijen verantwoordelijk voor de bescherming van privacygevoelige gegevens. Je moet met deze derde partijen een zogenoemde verwerkersovereenkomsten opstellen. Bestaan deze al, dan moet je ze op volledigheid controleren. Uit deze contracten moet onder andere duidelijk worden hoe een verwerker met jouw data omgaat. Een cloudprovider moet bijvoorbeeld zelf passende beveiligingsmaatregelen treffen. Bij een datalek moet de verwerker jouw organisatie op de hoogte brengen.

4. Beperk de schade

Mocht er een datalek optreden, dan is het belangrijk dat er alles aan wordt gedaan om de schade voor de betrokkenen te beperken. Dit betekent dat je jouw organisatie zo moet inrichten dat je snel op incidenten kunt reageren. De hiervoor benodigde processen en procedures moeten voor iedereen duidelijk zijn. Inclusief de procedure voor het melden van het datalek bij de Autoriteit Persoonsgegevens en eventueel bij de getroffen personen zelf. Oefen de procedures regelmatig, zodat iedereen weet wat de bedoeling is als het misgaat.

5. Data Protection Officer

Organisaties die op grote schaal met persoonsgegevens werken, zijn vaak verplicht om een Data Protection Officer (DPO) aan te stellen. Dat is een natuurlijke persoon die zich met de bescherming van gegevens bezighoudt. Hij of zij treedt hierbij op als onafhankelijke interne toezichthouder en onderhoudt de contacten met de Autoriteit Persoonsgegevens.

Dat neemt niet weg dat ook andere bedrijven veel baat kunnen hebben bij het aanstellen van een DPO. Je kunt deze functionaris zien als de centrale spil voor alles wat met het opslaan, verwerken en beveiligen van privacygevoelige gegevens te maken heeft. Hij of zij is bovendien betrokken bij het tijdig signaleren, melden, oplossen en voorkomen van incidenten.

De AVG vraagt veel eigen verantwoordelijkheid van organisaties zelf. Wie goed is voorbereid, voorkomt nare verrassingen.