Wat wij en onze klanten leerden in het voldoen aan de AVG

Een klein half jaar geleden kon je geen website of je mailbox openen of je kwam het onderwerp AVG tegen. Er is inmiddels al veel geschreven en besproken in het publieke domein met betrekking tot de AVG, maar toch zijn veel bedrijfseigenaren onzeker over wat de AVG inhoudt en of ze al dan niet worden beïnvloed. In dit artikel nemen we je mee in de ervaringen die wij bij onszelf en onze klanten hebben gehad om te voldoen aan de AVG. Aan de AVG voldoen is een samenspel van disciplines en het doornemen van de organisatie hiervoor brengt meer aan het licht…

Vorm naar de klant

Aangezien de AVG geen exacte invulling geeft aan haar eisen, voldoet het doorlopen van een aantal standaard stappen nooit geheel. De 10 stappen om aan de AVG te voldoen die door de AP gepubliceerd zijn, zijn een goede houvast. Sommige stappen zijn van elkaar afhankelijk, maar niet alle stappen hoeven in chronologische volgorde uitgevoerd te worden. Tevens zijn sommige stappen vaak al (gedeeltelijk) uitgevoerd.

De uitdaging is om het overzicht te houden en alle stukjes op elkaar te laten passen, zodat er uiteindelijk niets over het hoofd gezien wordt en de nieuwe processen en controles uitvoerbaar en effectief zijn.

In elk bedrijf zijn medewerkers die de AVG als een obstakel en werkverschaffing zien. Maar ook de medewerkers die zien hoe het imago van het bedrijf en perspectief van de eindklant positief te beïnvloeden zijn door het uitdragen van een degelijk beleid en het respecteren van de klant haar privacy. Deze laatste groep is zeer waardevol bij het identificeren van verbeterpunten. Vaak geven ze ook om de eigen persoonlijke privacy en gunnen andere deze ook. Dit in combinatie met uitgebreide kennis van het interne reilen en zeilen maakt deze medewerkers zeer waardevol.

Medewerkers weten vaak prima hoe de datastromen lopen, maar vinden het invullen van een dataregister lastig, omdat ze niet bekend zijn met de AVG terminologie en definities. Door het register met medewerkers van verschillende afdelingen in kaart te brengen gaat dit het efficiëntst.

Nu we toch bezig zijn…

Ooit iets snel geregeld met de intentie er op terug te komen en hier nooit meer de tijd voor gehad? De AVG dwingt je niet dit soort zaken op te lossen. Bij het nalopen van de werkprocedures, processen en datastromen komen er meestal ook andere verbeterpunten in beeld, die niet AVG gerelateerd zijn. Dit en het opstellen van het verwerkingsregister levert de kans om risico’s te identificeren en processen te stroomlijnen.

“Schoon regelmatig je zwerfdata…!”

Oude postvakken bevatten meestal basale persoonsgegevens en soms CV’s. Van oude apparaten is het vaak onbekend welke gegevens er op staan. USB sticks van collega’s die uit dienst zijn. Aan opslag in de cloud zijn kosten verbonden. Het bewaren van oude apparaten kost fysieke ruimte. Deze kosten en ruimte dienen vaak weinig nut en zouden beter ingezet kunnen worden. Onder de AVG dient het bewaren van persoonsgegevens een doel te hebben. De reden “Het zou later nog nuttig kunnen zijn.” is niet toereikend. Het houden van een schoonmaak van dit soort zaken kan niet alleen AVG overtredingen voorkomen, maar financiële voordelen hebben. Met een positieve insteek kan elke schoonmaak minder tijd in beslag nemen en steeds efficiënter verlopen. Het houden van een periodieke schoonmaak zal een aanmoediging zijn om minder te laten slingeren, aangezien het bij de schoonmaak weer aan bod komt.

Blijf bij je expertise

Als IT partij zijn we vooral sterk in de technische invulling en realisatie van de AVG vereisten. Maar we zijn geen juristen. Standaard overeenkomsten leveren is makkelijk. Zodra de situatie of partners complexer zijn verwijzen we door naar een jurist voor de overeenkomsten en externe beleidsteksten. Wel nemen we altijd de door juristen opgestelde documenten door om na te gaan of er techinsch aan voldaan kan worden en er zorg voor te dragen dat aan alle toezeggingen en vereisten voldaan wordt.

En nu bij blijven

Als externe consultant is het moeilijk om op de hoogte te zijn van alle interne wijzigingen en nieuwe projecten. Wanneer zaken op orde zijn gesteld, dienen deze ook bijgehouden te worden. Regelmatig langskomen om dit door te spreken is een kostbare optie. Meestal komen we uit op een situatie waarbij een interne medewerker wordt aangesteld als Data Protection Officer (DPO) of Functionaris Gegevensbescherming (FG), die vervolgens wanneer nodig overlegt.

Ik wil dat er contact met mij opgenomen wordt

Wilt u ook AVG geregeld hebben voor uw bedrijf dan kunt u uw emailadres hieronder invullen. Wij nemen dan contact met u op en kunnen uitleggen hoe wij u helpen om aan de AVG te voldoen.