De bouwstenen voor een succesvolle privacy strategie, die voldoet aan de AVG

Gepubliceerd op: 30 augustus 2018.

Bij SEVENP ben ik, Evelien, in mijn functie verantwoordelijk voor de bewaking van onze informatiebeveiliging. Tegelijkertijd help ik klanten die vragen hebben over de nieuwe privacy regelgeving.

In mei dit jaar waren veel organisaties druk bezig met de AVG. Binnenkort komt Europa met nog een nieuwe wet die grote impact gaat hebben op dataverwerkingen: de ePrivacy Verordening. Deze wet gaat de huidige cookiewet vervangen. Belangrijk dus om je privacy strategie onder de loep te nemen!

Een succesvolle privacy strategie

Als organisatie moet je in control zijn als het gaat om je data. Dit vraagt om een serieuze privacy strategie binnen je bedrijf. Aan welke vier pijlers moet een goede privacy strategie voldoen?

  • Creëer bewustwording binnen je organisatie

Hoe goed je technisch ook alles hebt ingeregeld om je te wapenen tegen cybercrime en privacy te waarborgen… een waterdicht privacy beleid valt en staat met je medewerkers. Ingewikkelde wachtwoorden (het liefst via een password manager), een versleutelde verbinding, een automatische schermvergrendeling, regelmatige software updates, virusscanners en two factor authentication, zijn een must. Want één medewerker die een mailtje naar zijn privé-e-mail stuurt, of een verdacht bericht niet herkent en opent, maakt alle technische maatregelen om data te beschermen zinloos. Maak iedereen dus alert op veilig omgaan met data.

  • Documenteer alles wat je doet met je data

Stel veiligheidsmaatregelen in rondom data én leg dit vast. Dit is namelijk ook een eis die de AVG stelt aan organisaties. Documenteer daarom doorlopend welke data je hebt, met welk doel, waar je het bewaart en hoe lang je de data binnen je organisatie houdt.

  • Zoek de verwerkingspartners op

Vraag je klanten, bezoekers van je website en ook je eigen medewerkers om toestemming om iets met hun data te mogen doen. Dat doe je onder andere met het achterlaten van cookies, het bewaren van klantgegevens en het managen van salarisgegevens. Vraag ook aan je leveranciers wat zij doen met jullie data. Hoe gaat je HR-partner bijvoorbeeld met de salarisgegevens om? Onthoud: de verantwoordelijkheid voor gevoelige data ligt bij de partij die de verwerkingspartner inhuurt.

  • Implementeer AVG regelgeving in je IT-infrastructuur

Burgers hebben sinds 25 mei veel meer rechten gekregen over inzage in en verwijdering van hun data. Data verwijderen is tegenwoordig meer dan “gewoon een mapje weggooien”, want data kan in veel verschillende systemen terechtkomen. Houd rekening met privacy bij de ontwikkeling van je producten of diensten, dat heet “privacy by design”.

Is een privacy maturity scan iets voor mij?

Ik krijg bij SEVENP vaak de vraag: wat is voor ons de beste manier om data zó te managen dat we voldoen aan alle privacywetgeving?

Er zijn een aantal mogelijkheden. Je kunt experts inhuren, of je kunt de eigen medewerkers opleiden tot security specialist. Dat laatste is wellicht niet geschikt voor iedere organisatie. Toch moet je als organisatie wel aan de nieuwe regels voldoen.

“Is het allemaal wel nodig? Wij zijn namelijk maar een kleine organisatie.” Een vraag die ik ook regelmatig krijg. Het hangt er vanaf wat voor soort data je verzamelt en verwerkt. Gaat het alleen om contactgegevens van klanten? Heb je een loonadministratie? Of doe je iets met medische gegevens? Hoe vertrouwelijk is die informatie precies en hoe complex?

Is het onduidelijk voor jou welke privacy maatregelen er binnen jouw organisatie genomen moeten worden? Vanuit SEVENP kunnen we een Privacy Maturity Scan uitvoeren. Hiermee krijg je inzicht in je risico’s, inclusief concrete aanbevelingen.

Interesse in deze Scan? Lees dan hier verder.

Lees hier hoe wij met data omgaan in ons Privacy Statement.

Klik hier om je in te schrijven voor onze nieuwsbrief!