Expertise Privacy

Privacy

Sinds 25 mei 2018 is de GDPR (in Nederland: de Algemene Verordening Gegevensbescherming, AVG) van kracht. Projective Group helpt organisaties om aan deze privacywetgeving te voldoen.

AVG

Compliance

Iedere onderneming verwerkt (soms onbewust) persoonsgegevens. Alle soorten (of categorieën van) persoonsgegevens kennen eigen eisen als het gaat om beveiligingsmaatregelen, bewaartermijnen, etc. De AVG stelt een groot aantal regels met betrekking tot de bescherming en de verwerking van persoonsgegevens. Wij helpen ondernemingen op praktische wijze invulling te geven aan de wettelijke vereisten, door implementatie in beleid, procedures en processen en door het invullen van (soms verplichte) rollen in de organisatie.  

Onze experts kenmerken zich door hun gedegen kennis van deze wettelijke eisen, maar ook van de best practices in de markt. Wij hanteren een pragmatische benadering, waarbij goed gekeken wordt naar jouw onderneming en naar de proportionaliteit van de te implementeren maatregelen.  

Privacy Quickscan

Het startpunt van onze dienstverlening is vaak het uitvoeren van een privacy Quickscan, ook wel ‘privacy nulmeting’ genoemd. Hierbij brengen we in kaart in hoeverre een organisatie voldoet aan de privacywet- en regelgeving. Vervolgens gaan we na welke stappen nog nodig zijn om te voldoen aan alle geldende eisen. Een privacy quick scan bestaat uit de volgende stappen:  

  • Het legal framework systematisch uiteenzetten en bepalen aan welke wettelijke vereisten uw organisatie moet voldoen; 
  • Het huidige beleid en documentatie in kaart brengen; 
  • De ‘gaps’ identificeren en analyseren; en  
  • Een plan van aanpak maken bestaande uit concrete acties die de tekortkomingen oplossen.  

Privacy beleid

Als verwerkingsverantwoordelijke dien je een privacybeleid op te stellen, waarin je aangeeft hoe de organisatie aan de AVG voldoet. Hierbij moet je rekening houden met de aard, omvang, context en het doel van de gegevensverwerking. Onze privacy specialisten kunnen je helpen met het opstellen, reviewen of herzien van het privacybeleid.   

Behalve het privacybeleid zijn er nog meer (beleids)documenten vereist om aan de AVG te voldoen. Denk hierbij aan een verwerkingsregister en verwerkersovereenkomsten. Ook bij het opstellen of reviewen van deze documenten kunnen wij u helpen. Zo helpen we ondernemingen de vereiste persoonsgegevensbescherming op een beheerste en controleerbare manier in te richten.  

Data Protection Impact Assessment  

Onderdeel van AVG compliance is ook het uitvoeren van een gegevensbeschermings- effectbeoordeling, in het Engels Data Protection Impact Assessment (afgekort DPIA) genoemd. De DPIA helpt je vooraf de privacy risico’s van een nieuwe of veranderde gegevensverwerking in kaart te brengen, zodat je maatregelen kunt nemen om deze te verkleinen. Onder de AVG is het uitvoeren van een DPIA verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de datasubjecten. Onze privacy specialisten helpen je bepalen of een DPIA nodig is. Vervolgens ondersteunen wij u bij de uitvoering ervan.  

Beoordelen van datalekken  

Als organisatie die persoonsgegevens verwerkt, bent je verplicht om een datalek te melden aan de Autoriteit Persoonsgegevens (AP) als er sprake kan zijn van ernstige nadelige gevolgen voor betrokkenen. In sommige gevallen moeten deze betrokkenen zelf ook op de hoogte worden gebracht. Daarnaast moet je alle datalekken documenteren, zelfs als ze niet gemeld hoefden te worden aan de AP.  

De afweging om een datalek wel of niet te melden kan lastig zijn. Hiervoor is een consistente afweging nodig die makkelijk vastgelegd en gereproduceerd kan worden. Wij kunnen je ondersteunen bij het:  

  • analyseren van het incident;  
  • beoordelen of er sprake is van een datalek;  
  • wegen van de ernst van het datalek;  
  • adviseren of een melding vereist is;  
  • melden en registreren van het datalek;  
  • voorkomen van herhaling. . 
Lees meer over het herkennen en melden van datalekken

Externe Functionaris Gegevensbescherming & Privacy Officer  

Binnen een organisatie is de directie verantwoordelijk voor de omgang met persoonsgegevens en de correcte naleving van de AVG. De directie kan hierbij worden ondersteund door twee functionarissen.   

Voor sommige organisaties is de aanstelling van een Functionaris Gegevensbescherming (FG), ook wel data protection officer (DPO)  genoemd, verplicht. In de praktijk kiezen organisaties ook zonder deze verplichting voor het aanstellen van een FG als onafhankelijke toezichthouder op de naleving van de AVG. Naast de tweedelijnsrol van de FG is er de eerstelijns  Privacy Officer (PO). Deze ondersteunt de organisatie onder andere met het opstellen en onderhouden van beleid, het beoordelen van datalekken en het uitvoeren van een DPIA.  

Beschikt jouw organisatie niet over een eigen FG of PO, wil je jouw huidige functie laten ondersteunen of heb je tijdelijk behoefte aan extra capaciteit? Onze privacy specialisten kunnen de functie op een professionele en praktische wijze invullen of ondersteuning bieden.   

Er ontstaat regelmatig verwarring over het verschil tussen de privacy officer en de FG. Wat is het verschil tussen deze twee functies en welke functionaris past bij jouw organisatie? Dat lees je hier.

Privacy officer versus Functionaris Gegevensbescherming: de verschillen

Laatste inzichten

LEES VERDER