Drie basis stappen om je bedrijf klaar te maken voor de AVG
Nog even en dan is het zover. Op 25 mei treedt de nieuwe Algemene Verordening Gegevensbescherming (AVG) definitief in werking.
Nieuw is de verordening al lang niet meer. Hij bestaat namelijk al sinds 4 mei 2016. Vanaf deze maand wordt de AVG wel gehandhaafd, wat inhoudt dat de Autoriteit Persoonsgegevens ook daadwerkelijk gaat controleren en in theorie ook boetes kan gaan uitdelen. Voor vooral kleinere bedrijven blijft het soms lastig om overwogen keuzes te maken in wat je wel of niet moet regelen. Daarom hebben wij de belangrijkste drie stappen op een rij gezet.
1. Leg je ICT-beleid vast
Het klinkt zo simpel, maar helaas gebeurt het lang niet altijd. Leg schriftelijk vast wat jouw ‘huisregels’ zijn als het gaat over het omgaan met ICT op je werkplek. Op die manier is je beleid controleerbaar voor autoriteiten en kun je deze handhaven richting je medewerkers op kantoor. De meeste punten zijn heel vanzelfsprekend. Bijvoorbeeld dat accounts van voormalige medewerkers direct worden gewist, welke gegevens je wel of niet op USB-sticks mag plaatsen, afspraken over privégebruik van het bedrijfsnetwerk of hoe vaak je jouw wachtwoord dient te veranderen. Verder is het handig om vast te leggen wie verantwoordelijk is voor gebruikersrechten en privacy zaken.
2. Neem passende technische maatregelen
Dit is natuurlijk een containerbegrip waar snel verwarring over ontstaat. Als je alle maatregelen doorvoert kom je al snel op een lijst met 100 verschillende aanpassingen. In de praktijk zijn vooral een aantal daarvan belangrijk. Zorg bijvoorbeeld voor een goede beveiliging van je accounts, zeker als je “in de cloud” werkt. Opties hiervoor zijn onder meer 2FA (Twee-Factor authenticatie door middel van een sms, telefoontje of e-mail), vingerafdrukbeveiliging of een extra pincode. Daarnaast is het belangrijk om alle apparaten te beveiligen waarmee je toegang hebt tot gegevens. Dus ook je privé telefoon. Maak je gebruik van telewerken, dan is het handig om ook die omgeving extra te beveiligen.
3. Sluit een verwerkingsovereenkomst af
Vrijwel ieder IT-bedrijf heeft inzage in persoonsgegevens van andere bedrijven of instellingen. Hetzelfde geldt ook voor bijvoorbeeld de hostingpartij van je website. In dat geval is het belangrijk om een verwerkingsovereenkomst af te sluiten. Daarin leg je ten eerste vast waarom het belangrijk is dat zij inzage hebben in de gegevens. Bijvoorbeeld omdat zij je ICT-omgeving beheren of website onderhouden. Daarnaast bepaal je wat ze wel en niet met deze informatie mogen doen. Bijvoorbeeld dat ze de gegevens niet mogen delen of verkopen aan andere partijen. Kom je er niet uit, neem dan contact op met een expert of jurist.