Ik zie door de bomen het bos niet meer, waar moet ik beginnen? Dit zijn veel gestelde vragen van ondernemers. In het bijzonder zijn het startende ondernemers die door de scala aan wetgeving niet goed weten waar te beginnen. Dit maakt niet uit maar het moet geen excuus zijn om niet te starten met de AVG.

Start met een gap-analyse of AVG privacy nulmeting. In deze blog beschrijf ik een gap-analyse stappenplan die u kunt gebruiken om de AVG te implementeren.

Want wat maakt de AVG precies lastig?

Sinds mei 2018 is de nieuwe Europese privacywet de General Data Protection Regulations (Nederlands: Algemene Verordening Gegevensbescherming, AVG) van kracht. In Nederland volgt deze privacywet de Wet bescherming persoonsgegevens op. Samengevat betekent dit dat er altijd al rekening werd gehouden met privacy. Echter zijn de privacy rechten van betrokkenen versterkt en uitgebreid. Hieruit volgt dat u de bestaande bedrijfsprocessen onder de loep neemt en waar nodig aanpast. Daarnaast is het voor alle organisaties verplicht om een privacy beleid in te voeren. Indien u de bedrijfsprocessen niet heeft uitgeschreven kan het helpen om een gap-analyse uit te voeren.

Van de Wet bescherming persoonsgegevens (Wbp) naar de Algemene Verordening Gegevensbescherming (AVG)

Een groot deel van de regels die zijn opgenomen in de AVG, waren al een onderdeel van de Wbp. Echter introduceert de AVG op diverse onderwerpen veranderingen of nieuwe verplichtingen. In de eerste plaats hoeven organisaties geen melding meer te doen van hun verwerkingen bij de toezichthouder, maar wordt er een verwerkingsregister bijgehouden. Met andere woorden de passieve registratieplicht is veranderd in een documentatieplicht. Door het verwerkingsregister continu bij te houden blijft de organisatie actief bezig met de nieuwe privacywet. Ook krijgen betrokkenen (personen van wie persoonsgegevens worden verwerkt) meer en verbeterde privacy rechten. Bijvoorbeeld voor het verwijderen, corrigeren of overdragen van de persoonsgegevens. Voor veel organisaties hebben de gewijzigde en verbeterde privacy rechten van betrokkenen samen met de documentatieplicht de meeste impact op uw bedrijfsprocessen.

AVG privacy nulmeting

De eerste stap naar AVG compliant zijn is het uitvoeren van een AVG privacy nulmeting. Na het uitvoeren van de nulmeting weet u direct hoe uw organisatie ervoor staat. Daarnaast is het direct duidelijk welke stappen u nog moet nemen om AVG compliant te zijn. Door de huidige situatie en de gewenste situatie te vergelijken door middel van een gap-analyse, is het mogelijk om een gap-analyse stappenplan voor het implementeren van de AVG op te stellen of wel een AVG plan van aanpak.

GAP-analyse stappenplan huidige en gewenste situatie

Door een gap-analyse uit te voeren naar de huidige en gewenste situatie krijgt u inzicht in de wijze waarop uw organisatie voldoet aan de privacywetgeving en waar in de toekomst nog aan gewerkt moet worden. Hieronder vindt u een stappenplan die gebruikt kan worden bij het uitvoeren van de GAP-analyse.

  1. De wettelijke grondslag voor het verwerken van persoonsgegevens is vastgesteld en vastgelegd.
  2. Documenteren van de verwerking. U registreert wie er verantwoordelijk is voor de verwerking van persoonsgegevens. Daarnaast legt u vast welke categorieën van betrokkenen er zijn. Vervolgens documenteert u welke persoonsgegevens u verwerkt. Bovendien geeft u aan of u derden inschakelt om de verwerkingen voor u uit te voeren. Ten slotte beschrijft u of de persoonsgegevens met landen buiten de EU worden gedeeld, wat de bewaartermijnen zijn en welke technische en organisatorische beveiligingsmaatregelen u hanteert.
  3. Indien u gebruikt maakt van de toestemming van de betrokkenen dan legt u het volgende vast. Ten eerste legt u vast waar er toestemming voor is gegeven. Daarnaast documenteert u waar en wanneer de toestemming gevraagd is. En tenslotte geeft u aan hoe u de toestemming heeft gevraagd.
  4. U heeft een procedure of proces ingericht voor het uitoefenen van de rechten van betrokkenen.
  5. Bij het ontwikkelen van producten of diensten houdt u rekening met de principes privacy by design en privacy by default. Dit betekent dat uw systemen en processen privacy vriendelijk zijn ontworpen en ingesteld.
  6. Heeft de organisatie een privacy beleid opgesteld en geïmplementeerd?
  7. Is de organisatie verplicht om een functionaris gegevensbescherming aan te stellen? Of stelt u een vrijwillige functionaris gegevensbescherming aan.
GAP-analyse stappenplan