Home » Actueel » De AVG komt eraan! Wat moet u nog regelen?

De AVG komt eraan! Wat moet u nog regelen?

We weten het ondertussen wel: 2018 wordt het jaar van de privacy en gegevensbescherming. 25 mei 2018 is het zover, dan wordt in Nederland en de rest van Europa de Algemene Verordening Gegevenbescherming (AVG) actief. Althans, wij noemen het AVG en de rest van Europa noemt het GDPR, General Data Protection Regulation, maar we hebben het over hetzelfde.

Bent u er al klaar voor? Misschien wat ambitieus, vooruit: bent u ermee bezig? We hebben nog net iets meer dan honderd dagen en er is veel te regelen. De datum van 25 mei 2018 staat vast en overal om ons heen horen we dat het veel is, maar is dat ook zo?

Noodzakelijke stappen of punten op de i?

Ik geef toe dat het veel werk is als u alles in de puntjes wilt regelen. Misschien wel te veel voor 25 mei, zeker als u nu nog moet beginnen. Ik kom bij veel gemeenten en gelukkig hoor ik bij alle gemeenten dat het leeft, dat ze er mee bezig zijn en een enkeling durft zelfs te roepen dat ze klaar zijn. Ik kan mij voorstellen dat u, zeker als uw organisatie nog in de inventarisatiefase zit, door de bomen het bos niet meer kan zien. Wat is er nu echt belangrijk? Wat kan er nog even wachten? We hebben voor u een aantal punten op een rij gezet die u zeker moet regelen voor 25 mei 2018.

FG

Een Functionaris Gegevensbescherming (FG) is een verplichting voor een gemeente omdat we heel veel privacygevoelige gegevens verwerken. Dit mag een rol of een functie zijn. Omdat de FG een zwaar juridische functie is, kom je al snel bij juridische zaken uit, maar dit is zeker geen verplichting. Regelmatig wordt er geopperd om de rol van de FG te combineren met die van de CISO. Het is in mijn ogen belangrijk om deze rollen niet samen onder te brengen bij één persoon. In het kader van incidenten zoals datalekken zullen de CISO en FG wel vaak samen op trekken. Er is inhoudelijk gezien wel degelijk een overlap, maar ze kunnen soms tegenstrijdige belangen hebben en dan is het handig dat ieder zijn standpunten kan verdedigen bij MT of bestuur.

Een FG neemt een aparte plaats in bij de ambtelijke/bestuurlijke organisatie en geeft leiding en sturing aan de privacyorganisatie. Tevens neemt hij/zij een groot aantal taken van de Autoriteit Persoonsgegevens over.

Privacy organisatie

Zoals ook informatiebeveiliging met de implementatie van de BIG (Baseline Informatiebeveiliging Gemeenten) verschillende rollen binnen de organisatie vraagt, heeft u ook bij de implementatie van de AVG een privacyorganisatie nodig. Dit zijn privacy officers (PO’s), medewerkers in de ambtelijke organisatie die in de vakgebieden de FG ondersteunen in de privacytaken. Privacy officers zorgen ervoor dat in hun vakgebied de privacy en bewustwording in het kader van privacygevoelige gegevens in orde zijn en blijven.

Andere belangrijke maatregelen

Andere punten vanuit de AVG die voor uw organisatie van belang zijn voor 25 mei 2018 zijn:

  • verwerkersovereenkomst;
  • verwerkingsregister;
  • meldplicht datalekken;
  • PIA (privacy impact assessment);
  • transparantie en rechten van betrokkenen;
  • bewustwording;
  • privacy by design en privacy by default.

Deze punten komen in de volgende edities van Overheid in Beweging aan bod tot de AVG op 25 mei 2018 ingaat.

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy adviseur bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.