Sinds mei 2016 zijn we bezig aan een overgangsperiode van twee jaar richting de General Data Protection Regulation (GDPR). In Nederland noemen we de GDPR vaak de AVG. Op 25 mei 2018 treedt de GDPR volledig in werking. De GDPR (EU Verordening 2016/679) staat voor de gegevensbescherming van alle individuen in de EU en bewoners van de EU krijgen hiermee meer controle over hun data en persoonsgegevens.

Wat betekent dat voor mijn organisatie?

De exacte impact kan voor elke organisatie anders zijn, maar ook bijvoorbeeld sportclubs of scholen krijgen hier mee te maken. Het zijn dus niet alleen de commerciële persoonsgegevens verwerkers, of bedrijven zoals Facebook. In het blog van onze collega Jan-Willem Smit staan zo’n acht stappen die helpen richting een GDPR compliant organisatie.

• Begrijp uw data; wat slaat de organisatie op en waarom?
• Bepaal eigenaarschap en verantwoordelijkheid
• Wat is de reden dat het bedrijf gegevens verwerkt en mag dat van de wet?
• Welke rechten hebben de personen waarvan de organisatie gegevens verwerkt?
• Zorg dat privacy de basis is van het ontwerp voor de processen en systemen
• Ga uit van een lek, wat dan?
• Communiceer over de informatie, zowel intern als extern, creëer awareness bij collega’s
• Werk samen met leveranciers van informatiesystemen

Daarnaast schrijft de GDPR een Data Protection Officer voor. Dit is een persoon binnen uw organisatie die verantwoordelijk is voor GDPR. Wat deze verantwoordelijkheden inhouden en wat de gevolgen zijn als er toch een lek is? Dat spreek je af met uw DPO. De DPO kan ook een persoon zijn buiten uw organisatie. Deze afspraken zijn cruciaal. De DPO kan zomaar komen met een aanbeveling voor uw organisatie. In de regel zal het niet verstandig zijn die zomaar naast u neer te leggen.

Wat kan ACES Direct doen?

De gehele AVG / GDPR richt zich niet alleen op informatiesystemen maar ook op processen en procedures. ACES Direct bied je ondersteuning op weg naar de AVG (Algemene Verordening Gegevensbescherming). Want hoe zorg je er nu voor dat de acht stappen ook tot concrete antwoorden leiden? Hiervoor hebben we een traject opgezet waarbij we je stap voor stap meenemen.

Fase 1: Intake assessment: een 25 tal vragen over uw huidige organisatie met korte inventarisatie met als uitkomst een kort report.

Fase 2: Detailed assessment: na een kick-off en samenstelling van een projectgroep lopen we alle aspecten van de AVG / GDPR door aan de hand van een uitgebreide vragenlijst.

Fase 3: Rapportage: uit het assessment levert ACES Direct een rapportage aan met de onderwerpen die directe aandacht behoeven, maar ook zaken die geregeld moeten worden waar geen directe prioriteit bij is.