Privacy


Momenteel is privacy een bijzonder actueel onderwerp, nu de nieuwe privacywet – de Algemene Verordening Gegevensbescherming (AVG) – vanaf 25 mei 2018 de Wet bescherming persoonsgegevens vervangt. Met de AVG krijgen organisaties meer verplichtingen, burgers meer privacyrechten en toezichthouders meer bevoegdheden. Ook uw organisatie doet er goed aan zich hierop voor te bereiden, want de AVG heeft verstrekkende gevolgen.

Allerlei partijen houden zich bezig met vraagstukken op het gebied van persoonsgegevens. Dit kan gaan om privacy en veiligheid, maar ook om het vergroten van efficiency en het verminderen van regeldruk. De behoefte om data (digitaal) te delen tussen organisaties neemt toe, bijvoorbeeld in het kader van schuldhulpverlening en zorg. Dit biedt veel kansen, maar ook uitdagingen. Want gegevensuitwisseling moet plaatsvinden binnen de kaders van privacywetgeving én geborgde burgerrechten. Het kabinet wil daarbij dat burgers meer regie krijgen op hun persoonsgegevens.

Informatiestromen in kaart brengen

Een eerste stap voor uw organisatie is het in kaart brengen van de informatiestromen. Dan biedt u zicht op de locaties en de wijze waarop persoonsgegevens verwerkt worden. Zo kunt u mogelijke risico’s vroegtijdig signaleren. Hiervoor kunt u gebruikmaken van bestaande risicoanalyses, van bijvoorbeeld het informatieveiligheidsbeleid. Hier vindt u een checklist (pdf, 422 kB) die u helpt uw privacybeleid gestructureerd op te zetten.

Privacy Impact Analyse (PIA)

In artikel 35 van de nieuwe AVG wordt een gegevensbeschermingeffectenbeoordeling (oftewel een Data Protection Privacy Impact Assessment - DPIA) verplicht gesteld. Zo’n DPIA kan onderdeel zijn van een volledige PIA, maar biedt een breder en beter inzicht in de impact op privacy.

Hoewel de DPIA op het eerste gezicht een duidelijk kader biedt, blijft veel onbesproken. Organisaties hebben een zekere vrijheidsgraad in het uitvoeren van de effectenbeoordeling. Berenschot helpt u met het opstellen van een DPIA op maat voor uw organisatie, op basis van onze beproefde blauwdruk van de DPIA.

Functionaris gegevensbescherming

De Functionaris Gegevensbescherming (FG) is een interne toezichthouder op de verwerking van (persoons-)gegevens. Een FG houdt binnen de organisatie toezicht op de toepassing en naleving van de geldende wet- en regelgeving.

Rijksoverheid, gemeenten, provincies en zorg- en onderwijsinstellingen zijn zelfs verplicht om een FG aan te stellen en deze te registreren bij de Autoriteit Persoonsgegevens. Hierbij mag geen sprake zijn van belangenverstrengeling tussen de oorspronkelijke functie van de medewerker en de functie als FG. Zo mag een CISO/CIO of een informatiemanager deze functie niet bekleden. Indien gewenst, helpt Berenschot u met de vormgeving van deze functie, zodat u voldoet aan geldende wet- en regelgeving.

Voldoet uw organisatie aan de AVG?

Veel organisaties hebben de mouwen opgestroopt om aan de slag te gaan met de AVG. Benieuwd hoe u als organisatie kunt voldoen aan de nieuwe richtlijnen? Onze informatiemanagementexperts en juristen ondersteunen u graag – van interne en externe crisiscommunicatie bij een datalek tot sanity check op uw informatiestromen en bewustwording van de AVG bij medewerkers. Neem gerust contact op met één van onze adviseurs.