Check iconAlles op 1 plek
Check iconOverzichtelijk
Check iconEenvoudig
Check iconStructuur

Check de AVG compliance van jouw organisatie

Daniëlle de Vaal

Europa heeft één privacywetgeving, namelijk de General Data Protection Regulation (GPDR). In Nederland staat deze bekend als Algemene Verordening Gegevensbescherming (AVG). Aan de AVG wet dient elke organisatie die persoonsgegevens verwerkt te voldoen, ongeacht of je kiest voor ISO-certificering. AVG Compliance, wat houdt dat in en hoe kan jij AVG implementeren in jouw organisatie? Wat dien je vast te leggen en op welke manier? De ProActive Compliance tool (PCT) heeft een AVG module waarin je kunt vastleggen hoe jouw organisatie omgaat met persoonsgegevens.

AVG Compliance

Bescherming van persoonsgegevens is een grondrecht, de privacy rechten van mensen zijn aangescherpt en uitgebreid. Compliance is de naleving van relevante wet -en regelgeving. In de Europese privacywetgeving AVG zijn de belangrijkste regels voor de omgang met persoonsgegevens vastgelegd. Deze wet is van kracht sinds 2018 en in het leven geroepen omdat bedrijven persoonlijke data aan het verzamelen waren zonder dat het relevant is voor de dienstverlening. Deze wet geeft jou als persoon meer rechten en zorgt ervoor dat organisaties op een verantwoordelijke en zorgvuldige manier met jouw gegevens omgaan.

Lees meer over AVG en ISO certificering

AVG implementeren

Wanneer je AVG gaat implementeren in jouw organisatie, dien je vast te leggen met welke reden (grondslag) je persoonsgegevens verwerkt en wat de bewaartermijn hiervan is. Er wordt onderscheid gemaakt tussen gewone en bijzondere persoonsgegevens:

  • Gewone persoonsgegevens: gegevens die naar een persoon leiden. Denk aan naam, geslacht en NAW-gegevens.
  • Bijzondere persoonsgegevens zijn bijvoorbeeld, ras, etnische afkomst, godsdienst en levensovertuiging. Belangrijk om te weten is dat bijzondere persoonsgegevens verboden zijn te verwerken, tenzij er wettelijke uitzondering voor is.

AVG ISO 27001

Ga je met ISO 27001, de norm voor informatiebeveiliging, de norm voor informatiebeveiliging aan de slag? Dan wordt er getoetst op de implementatie van het wettelijk kader ‘omgang met persoonsgegevens’. Wanneer je niet voldoet aan de eisen uit deze norm, kun je hier een afwijking op krijgen tijdens een audit waardoor je geen certificaat krijgt. Daarom is het dus erg belangrijk om deze documentatie op orde te hebben. De maatregelen voor bescherming van persoonsgegevens die zijn toegepast op de ISO 27001 certificering bieden een basis om aantoonbaar te voldoen aan de AVG.

De AVG module helpt je om grip te krijgen op persoonsgegevens.

Doe de AVG compliance check

Toon aan dat jouw organisatie op een verantwoordelijke manier met informatie omgaat, door invulling te geven aan de volgende onderwerpen en deze te verwerken in een verwerkersregister:

  • Voor welke persoonsgegevens ben je verantwoordelijk als organisatie?
  • Welke persoonsgegevens worden er verwerkt door jouw organisatie
  • Welke grondslag er is om deze gegevens te verwerken?
  • Waar verwerk je deze gegevens en wie heeft toegang tot deze gegevens?
  • Hoe wordt de data van persoonsgegevens opgeslagen en wat is het bewaartermijn?
  • Welke technische en organisatorische maatregelen zijn er getroffen met betrekking tot beveiliging van deze gegevens?

AVG in de PCT

De AVG module in de PCT biedt een totaaloverzicht van alle persoonsgegevens en heeft twee verwerkersregisters:

  1. Verwerkersregister voor jou als verwerkingsverantwoordelijke. Een register met daarin alle processen waarin jouw organisatie verantwoordelijk is voor de persoonsgegevens
  2. Verwerkersregister voor jou als verwerker. Een register met daarin de specifieke processen waarin jouw organisatie de verwerker is van persoonsgegevens, maar niet verantwoordelijk zijn voor deze data.

Beide registers maken inzichtelijk welke persoonsgegevens exact verwerkt worden.

4 type grondslagen

Om te bepalen wat de grondslag is voor het verwerken van persoonsgegevens moet je eerst weten welke grondslagen er zijn, de AVG kent 6 verschillende typen grondslagen;

  1. toestemming
  2. vitale belangen
  3. wettelijke verplichting
  4. algemeen belang
  5. gerechtvaardigd belang
  6. overeenkomst

Deze grondslagen worden toegelicht in de PCT, dit maakt het bepalen van de juiste grondslag een stuk eenvoudiger.

Data Protection Impact Assesment

Wanneer je gegevensverwerking een hoog privacy risico oplevert wordt er aangegeven in de PCT dat je een Data Protection Impact Assessment (DPIA) moet uitvoeren. Met hoog privacy risico wordt bedoeld, bijzondere persoonsgegevens, wanneer er op grote schaal persoonsgegevens worden verwerkt of wanneer er sprake is van profilering. Door een DPIA uit te laten voeren worden de risico’s inzichtelijk en dien je maatregelen te treffen om de risico’s te verkleinen.

Security incidenten

De PCT helpt je om inzicht te krijgen in security incidenten waar persoonsgegevens bij betrokken zijn. Zo houd je gemakkelijk overzicht welke incidenten bij het AP moet melden.

Verwerkersovereenkomst

Wanneer jouw organisatie gebruik maakt van een derde partij die namens jouw organisatie persoonsgegevens verwerkt, wordt dit volgens de AVG de verwerker genoemd. Hier ben je verplicht afspraken voor vast te leggen in een verwerkersovereenkomst. Verwerkersovereenkomsten in het Engels genoemd een Data Processing Agreement (DPA) en overige beleidsdocumentatie die betrekking hebben op AVG kun je opslaan in de ProAcrtive Compliance Tool.

Benieuwd naar de AVG module in de PCT? 

Wil jij AVG op overzichtelijke wijze implementeren en documenteren en ben je benieuwd naar de PCT? Neem dan contact op en plan een demo in. Lees ook het blog van Curasoft over ISMS en AVG.

Ervaar het gemak en de gebruiksvriendelijkheid
van de Proactive Compliance Tool

Probeer nu gratis uit
Demo aanvragen

ProActive Compliance Tool

ISMS software
ISO 27001 software
ISO certificeringen
Online managementsysteem
FAQ

Contact

085 - 06 08 584

Volg ons

Privacy policy

Algemene voorwaarden