AVG advies

Heeft u AVG advies of ondersteuning nodig?

In korte tijd weet u hoe u ervoor staat met een duidelijk stappenplan (AVG actieplan) om te voldoen aan de wettelijke vereisten (compliant).

Of wilt u eerst ons e-book ontvangen?
 

Help mij bij AVG advies

Heeft u ondersteuning bij de AVG implementatie nodig? Van inventarisatie en QuickScan naar een stappenplan en advies. Dit alles in een korte tijd met de nadruk op pragmatisch, meetbaar zonder complexe, kostbare en technische oplossingen.

Abraxax vertaalt het complexe juridische verhaal naar een pragmatische invulling waarbij veel ervaringen van grotere organisaties is verwerkt (de zogeheten best practices). 

De laatste statistieken (4e kwartaal 2017)

Hieronder een impressie van het aantal meldingen en het type datalekken.

Meldingen datalekken 4e kwartaal 2017

 

AVG advies heeft direct betrekking op ondersteuning bij de implementatie van de wet Algemene Verordening Gegevensbescherming (afgekort: AVG). Dit is de Nederlandse vertaling (interpretatie) van de Europese wet “General Data Protection Regulation” (GDPR). Deze wet wordt binnenkort van kracht en dit vindt plaats op 25 mei 2018. Veel organisaties worstelen met de implementatie van deze wet.

AVG adviesNu wordt er binnen een organisatie gezocht naar een persoon die deze hete aardappel op het bordje krijgt. Dit is vaak een lastige uitdaging. De hete aardappel komt mogelijk eerst bij de afdeling juridische zaken terecht. Zij hebben echter onvoldoende kennis en ervaring van IT en zitten niet te springen op een probleem dat slechts ten dele te maken heeft met juridische zaken. Dit wordt nader toegelicht in ons e-book, dat u kunt opvragen.

TIP: In ons e-book staan diverse tips vermeld. Eentje zullen we nu verklappen: Gebruik geen draadloze toetsenborden in een omgeving waarbij privacy gevoelige informatie wordt bewerkt. Deze toetstenborden zijn redelijk snel te scannen waarbij wachtwoorden kunnen worden verzameld. 

AVG op het snijvlak van juridisch, ICT en organisatie

De op- en navolging (implementatie binnen organisaties) van AVG zit op het grensvlak van recht, organisatie en ICT. Daarmee is nog niet alles gezegd omdat ICT wel een grote rol speelt in de informatiebeveiliging maar in feite geen eigenaar is van de data. In dit geval betreft het de privacygevoelige data die in verschillende systemen binnen en buiten de deur zijn opgeslagen (denk hierbij aan spreadsheets, dropbox, CRM systemen, uitwisseling via FTP, USB sticks, bestanden op de PC, mobiele telefoons, andere cloud opslagdiensten). De kans op datalekken met privacy gevoelige informatie is serieus aanwezig (en vormt hiermee dus een risico). Daarnaast is het juridische (wettelijke) gedeelte een aan twee kanten geslepen zwaard. Eenerzijds de risico's op een boete en anderzijds de verplichting om bepaalde zaken na te leven. In ons e-book  AVG advies leggen we uit dat de risico's op een boete klener zijn dan waarmee de wet dreigt via op te leggen sancties.

Heeft u een nog geen AVG actieplan? Dan nodigen we u uit om verder te lezen en ons e-book aan te vragen.

AVG advies en pragmatisch naar resultaten

Bij een goed AVG advies is de insteek pragmatisch: In korte tijd een compact stappenplan opzetten dat de kosten van AVG compliance (het voldoen aan de wettelijke vereisten) alsmede de kans op boetes reduceert. Hierbij is het belangrijk dan de kwaliteit alsmede de duidelijkheid omtrent eigenaarschap van privacy gevoelige data wordt vergroot.

Bangmakerij en hype

Bij alle commotie omtrent deze nieuwe wet zit er natuurlijk een portie bangmakerij en ook een marketing hype in dit verhaal. U wordt bang gemaakt en hierdoor ontstaat onzekerheid. U heeft geen of weinig tijd. U moet gaan uitbesteden. Aan wie gaat u uitbesteden?

Er zijn in de aanloop naar deze wet veel consultancy clubs ontstaan die inspringen op deze hype want de markt is groeiende. Het aantal termen (jargon) neemt toe: Onder andere: PII, DPIA, Data Protection Officer (DPO), Functionaris Gegevensbescherming (FG). Door deze grote vraag schieten ook de opleidingsinstituten en opleidingen als paddestoelen uit de grond. Een markt die groeit van circa 70 Miljoen naar meer dan 1 Miljard euro, daar wil iedereen wel een graatje van mee plukken.

Een andere AVG boodschap en verplichting:

~ U dient een geconstateerd data lek binnen 72 uur te melden voorzien van een actieplan ~

Niemand wil zijn vingers branden dus beter te veel (onder andere documentatie en beveiliging) dan te weinig.

Voor onder andere gemeenten, overheden en zorgverleners geldt een volledig ander verhaal. De aanstelling van een Functionaris Gegevensbescherming (FG) is verplicht. De functie van deze Functionaris Gegevensbescherming heeft een pittig karakter want hier geldt kennis en ervaring op de gebieden Europese wetgeving, ICT en organisatie. Daarnaast is kennis en ervaring met risicoanalyses, compliance en audit bijna een vereiste. Voor organisaties die een FG of compliance officer zoeken zal dit zeker een uitdaging zijn.

AVG actieplan en stappenplan

U dient een AVG actieplan met stappen te hebben. Dit plan dient concreet aanwezig te zijn als u AVG serieus wilt nemen. In dit plan staat het kader wat u heeft gedaan en wat u nog gaat doen. De stappenplannen die u van het Internet kunt plukken zijn vaak te algemeen en hebben een groter en breder kader. U dient uw stappenplan op maat aan te passen op uw organisatie (ZZP, MKB, Nationaal, Internationaal en dit alles afhankelijk van de branche waarin u opereert). Hierdoor kunt u een focus leggen op de diverse acties en werkzaamheden die u moet gaan uitvoeren. Een methode om dit te doen staat vermeld in ons e-book.

Opmerking: Een stappenplan met een (gedeeltelijke) implementatie is mogelijk binnen 5 tot 15 dagen. 

Risicoinventarisatie is de basis

Een  risicoinventarisatie is de basis voor het opstellen van een AVG stappenplan. Deze risicoinventarisatie is belangrijk en documenteert tevens de huidige status van uw (data)beveiliging. Het spreekt voor zich dat u met dit document uiterst zorgvuldig om dient te gaan. U  beschrijft hier uw kwetsbaarheden en ook een aantal beveiligingsmaatregelen. Onderdeel van beveiliging is dat u niet vertelt welke beveiling u heeft en waar u op dit moment aan werkt.

Relatie van AVG met contractmanagement

Privacygevoelige informatie zit overal verstopt in systemen (maar ook prints). Daarnaast wordt veel verwerking van data en onderhoud (dus toegang) tot systemen uitbesteed. Denk hierbij aan onderhoud van een database of computersysteem, salarisverwerking en vele anderen. Ook de afdeling marketing verwerkt persoonsgevoelige informatie. Contracten met subcontractors dienen dekkend te zijn om schadeclaims af te dekken. U dient al uw contracten dus goed op orde te hebben met een bijbehorende SLA..

Enkele links:

E-book aanvragen voorzien van een stukje AVG advies

Een e-book met een aantal practische tips en suggesties. Wilt u meer weten over de pragmatische insteek bij AVG advies zoals Abraxax dat hanteert, vraag dan het e-book aan. Neem hiervoor contact met ons op.

Vraag het e-book aan.

Tags: