Hoe staat het met uw implementatie van de AVG?
25-april-2018
Dagelijks komen berichten op diverse social media langs over uiteenlopende onderwerpen vanuit de Algemene Verordening Gegevensbescherming (AVG). Vaak gaat het echter over onderzoeken dat met name binnen de MKB en Small Office en Home Office bedrijven nog nauwelijks gestart zijn met het voorbereiden op de komende wetgeving.
Op de site van de Autoriteit Persoonsgegevens worden 10 stappen aangeboden die moeten zorgen dat een organisatie zich kan voorbereiden. Daarnaast is op de site veel informatie te vinden. Verschillende bedrijven bieden ook stappenplannen en informatie. In de artikelen wordt echter niet helder waarom het klein bedrijf in een afwachtende houding blijft en schijnbaar niet uit de voeten kan met wat beschikbaar is.
Het antwoord ligt meer voor de hand dan verwacht. De stappen die de autoriteit heeft geboden en die overgenomen zijn door de markt, gaan uit van de wijzigingen met de komst van de AVG. Er zijn maar beperkt veranderingen in de AVG ten opzichte van de “oude” Wet Bescherming Persoonsgegevens (WBP). Hierdoor lijkt dat er niet veel hoeft te gebeuren.
Heeft Nederland echter ooit voldaan aan de eisen vanuit de WBP? Met name wanneer gekeken wordt naar de organisatorische en technische maatregelen die genomen zijn om persoonsgegevens te beveiligen. Het antwoord is dat het meer uitzondering dan regel is geweest dat een organisatie hier een goede inrichting voor had. Informatie over welke stappen genomen moeten worden om alsnog aan de vereisen uit de WBP te voldoen zijn echter moeilijk te vinden.
Daarnaast is er direct een kostencomponent. Trajecten om compliant te worden, worden aangeboden voor hoge prijzen. Met name kleine MKB en SOHO hebben beperkt budget. Dit soort trajecten zijn dus veelal niet toegankelijk. Kleinere bedrijven hebben vaak zelf de kennis niet in huis en hebben hierdoor juist behoefte aan goede en complete informatie.
Er zijn wel een aantal mogelijkheden die kosteloos beschikbaar zijn. In dit artikel noem ik er drie.
Via de Franse toezichthouder, de CNIL, is een open source PIA (Privacy Impact Assessment) te downloaden. Hierin worden de juiste vragen gesteld om de context, het soort persoonsgegevens, relevante risico’s en maatregelen om die te reduceren te bepalen. Het is even uitzoeken waar wat staat, maar het is redelijk toegankelijk.
Indien er liever met Nederlandstalige ondersteuning gewerkt wordt, is de NEN 7510 een mogelijkheid om zonder kosten een hulpmiddel beschikbaar te hebben. In deze NEN norm voor de zorg is letterlijk de ISO 27001 en 27002 opgenomen met wat aanvullingen voor de zorg. Uitgewerkt. En al met duidelijke richtlijnen hoe maatregelen er uit moeten zien. Hier is geen mogelijkheid om relevante risico’s uit de documenten te halen, maar deze norm is wel completer dan de PIA.
DataProtection.Support start in mei met een mogelijkheid voor SOHO om in een seminar zich voor te bereiden op de AVG. Kennisvergaring, bewustzijn, keuzes maken en een actielijst zijn het resultaat van de vijf uur die met elkaar wordt gewerkt. Iedereen gaat met een plan en bijbehorende documentatie de deur uit en na het afhandelen van de acties is een redelijk set met maatregelen van toepassing.
Deze seminars worden begeleid door een ervaren consultant die ook vragen kan beantwoorden en onduidelijkheden kan wegnemen. Hiermee is het een toegankelijke mogelijkheid ontstaan om toch een specialist in huis te halen. Naast een eenvoudig stappenplan voor de iets grotere MKB organisaties heeft DataProtection.Support hiermee een mooie aanvulling op het al aanwezige aanbod gecreëerd.
Welke hulpmiddel u ook kiest, kom in beweging. Iets is altijd beter dan niets in dit geval.