06-34529093

Bent u klaar voor AVG?

Wat is AVG?

Op 25 mei 2018 zal de Europese Algemene Verordening Gegevensbeschermings (AVG), internationaal General Data Protection Regulation (GDPR), de nationale wetgeving zoals de Wet bescherming persoonsgegevens(Wbp) vervangen.

Hierdoor ontstaat er een eenduidige persoonsgegevensbescherming en -regulering van de stroming van persoonsgegevens tussen alle 28 EU-lidstaten.

Waarom deze verandering?

In het kort omdat de oorspronkelijke Europese richtlijn inzake gegevensbeschermingsrichtlijnen (Richtlijn 95/46 / EG) die sinds oktober 1995 van kracht is achterhaald is.

Ontwikkelingen in IT, zoals internet, sociale media, internetbankdiensten, cloud-based services/oplossingen, enz. hebben geresulteerd in een aantal tekortkomingen in de oude richtlijn.

Het resultaat is dat op 27 april 2016 de nieuwe EU-gegevensbeschermingsverordening (EU) 2016/679 (AVG) door het Europees Parlement is goedgekeurd welke op 25 mei 2018 de oude richtlijn gaat vervangen. Deze AVG is op gebied van privacywetgeving de grootste verandering aan de Europese privacy-regulering van de laatste 20 jaar.

Mei 2018 lijkt ver weg, maar deze aankomende wetswijziging zou bij alle CIO’s, directeuren en ondernemers nu op de agenda moeten staan. De AVG heeft namelijk ingrijpende gevolgen voor het informatiebeleid en -management van zowel grote als kleine organisaties.

Het is daarom voor iedereen belangrijk om zich nu te (laten) informeren, voordat het te laat is.

Creative Document Solutions helpt u om uw outputomgeving, document- en bedrijfsprocessen te laten voldoen aan de nieuwe AVG-wetgeving.

Waar het uiteindelijk op neer komt of er aan de nieuwe AVG wordt voldaan; Kan uw organisatie in een rechtbank de acties en processen die u heeft genomen om AVG te implementeren voldoende verdedigen; Waardoor de kans op aansprakelijkheid en een boete wordt verminderd.

Voldoen aan de AVG houdt in het proactief implementeren van het juiste personeel, procedures en processen om ervoor te zorgen dat gegevens adequaat worden beschermd en behandeld; In plaats van te worden behandeld als ad-hoc en last-minute overweging.

Om te kunnen voldoen aan de in de AVG gestelde richtlijnen of deze te overtreffen gaat om het uitvoeren van effectbeoordelingen op het gebied van gegevensbescherming (zie artikel 35) en het introduceren van aanvullende technologie (Document Management systemen, versleuteling, beveiligd transport en opslag van gegevens, enz.).

Bedrijven zouden AVG moeten gebruiken als een hoeksteen voor hun risicobeperkingsproces.

Er is geen mogelijkheid meer voor de aansprakelijkheid weg te lopen, aangezien zowel de beheerder als de onderaannemer gelijkwaardig zijn voor een inbreuk op gegevens (zie artikelen 24, 26, 27, 28 en 29).

Helaas, hebben veel organisaties last van een wildgroei van ongestructureerde en ongeautoriseerde applicaties die gebruikt worden om bestanden op te slaan en te beheren. Dit leidt tot verhoogde veiligheidsrisico’s en verminderde productiviteit en informatiebeschikbaarheid binnen een organisatie. Bijkomend voordeel van voldoen aan de AVG is voor de organisatie dat ze meer inzicht, flexibiliteit en controle hebben over de gegevens, documenten, data en content.

De onderstaande aanbevelingen / acties zullen helpen om de nieuwe regels te begrijpen en te interpreteren en één enkel strategisch, gestructureerd, top-down, beleid en overzicht van geclassificeerde persoonlijke geïdentificeerde informatie te hebben.

Er zijn enkele basis- en kernaanbevelingen die Creative Document Solutions voorstelt om de boete te vermijden en ervoor te zorgen dat uw organisatie aan de AVG voldoet. Neem daarom de volgende stappen in overweging.

1. Stel een verantwoordelijke aan

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie vereist is;

a) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;b) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;c) de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

Zo ja, wacht dan niet te lang met het werven van een FG.

Om ervoor te zorgen dat uw organisatie de wetgeving nakomt en onderhoudt is het van belang dat de aangestelde persoon een professional is op het gebied van gegevensbescherming met deskundige kennis en ervaring op de gegevensbeschermingswetgeving

De aangewezen persoon zal een strategie en project moeten implementeren, met als hoofddoel het voldoen aan / overtreffen van AVG-naleving. Het project moet organisatorische, procedurele en technische maatregelen uitvoeren en vastleggen om aan de controle eis te voldoen.

2. Informeer uzelf en uw organisatie

De AVG wordt op 25 mei 2018 actief. Het is daarom van essentieel belang dat u zich nu op de hoogte stelt en op de hoogte blijft van de informatie betreffende de AVG. Er is een enorme hoeveelheid informatie en begeleiding met betrekking tot de AVG te vinden op de website van de Autoriteit Persoonsgegevens.

Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare mankracht en middelen en begin er daarom op tijd mee.

De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven, zoals guidelines die zijn opgesteld samen met de andere privacy toezichthouders in Europa. Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

3. Onderzoek

De AVG geeft niet veel exacte aanwijzingen over welke technologie (zie de overwegingen 66, 67, 68, 71, 78, 81, 156, 168) en beveiliging (zie artikel 32) moet worden toegepast gegevensbescherming te bereiken. Daarentegen wordt het omschreven als ‘ Rekening houdend met de stand van de techniek, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

De onduidelijkheid van de AVG met betrekking tot de precieze invulling van technologie / technologieën die moeten worden gebruikt, maakt de interpretatie van de verordening lastig.

Dat gezegd hebbende, is het logisch om te stellen dat de implementatie van een technische oplossing de naleving van de AVG zal vereenvoudigen en efficiënter maken in vergelijking met handmatige verwerking. Het is hoogstwaarschijnlijk ook de meest kosteneffectieve optie voor de toekomst om aan de onderstaande eisen te kunnen voldoen:

A) gegevens juistheid (Artikel 5 – actuele data)B) Recht van inzage (Artikel 15 – het vermogen van een bedrijf om aan een ​​aanvraag tot inzage van gegevens te voldoen)C) Recht van rectificatie en wissen van gegevens (ook bekend als recht op vergetelheid) (zie artikelen 16 en 17).

Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Onder de AVG heeft u een documentatieplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. U kunt het overzicht ook nodig hebben als betrokkenen hun privacyrechten uitoefenen.

Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.

Vermeld in het overzicht ook per categorie van gegevens op basis van welke wettelijke grondslag u deze gegevens verwerkt. Beroept u zich bijvoorbeeld op een gerechtvaardigd belang of vraagt u toestemming aan de betrokkenen?

Technologie zal u helpen dit te bereiken.

4. Technologie

In een organisatie kunnen een groot aantal toegangs- en uitgangspunten bestaan waaruit gegevens, waaronder persoonsgegevens, kunnen vloeien. Deze omvatten naast elektronisch (e-documenten) ook de traditionele papierformaten. Het is belangrijk om te begrijpen waar deze gegevens worden vastgelegd, verwerkt, uitgevoerd en behouden. Het uitvoeren van een grondig onderzoek hiervan met bijzondere aandacht voor de persoonsgegevens, is de eerste stap naar een goed record management systeem dat voldoet aan de richtlijnen van AVG.

Behandeling van persoonsgegevens moet beperkt blijven tot wat nodig is en gekoppeld is aan het doel ervan (data minimalisatie en opslag beperking principes). Onder de AVG is er een nieuwe documentatieplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt.

5. DMS / ECM

De implementatie van technologie, zoals een elektronisch document of content management systeem, kan een van de belangrijkste enablers zijn bij het omgaan met persoonsgegevens binnen de AVG.

Bij het selecteren van een dergelijk systeem, zijn er onderstaande richtlijnen die u kunnen helpen:

A. Vertrouwelijkheid
Door informatie te beschermen tegen onbevoegde toegang en openbaarmaking.

B. Integriteit
Door de juistheid en volledigheid van de informatie te waarborgen en zijn onbevoegde wijziging of verwijdering te voorkomen.

C. Beschikbaarheid
Door te garanderen dat gegevens en bijbehorende diensten veilig zijn voor geautoriseerde gebruikers, wanneer en waar nodig.

D. Register van de verwerkingsactiviteiten

Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden

Een document management oplossing moet:

voorzien zijn van een geïntegreerde beveiliging en compliance (privacy by design & privacy by default) vanaf het begin van de vastlegging (data capture), gedurende het gehele proces (data integratie) tot het verwijderen van de gegevens (data deletion)Gebruikers het vertrouwen geven dat wat ze doen veilig is door beveiligingssleutels, twee stappen verificatie, tokens en encryptie te implementeren.De kans op datalekken verminderen door document types te scheiden.
Classificeer en definieer gegevens bij vastlegging. Worden de gegevens als persoonlijk beschouwd en wat is de minimale en maximale bewaar termijn (retentieplan). Op deze manier worden gegevens voordat ze in het DMS worden opgeslagen en verwerkt kunnen worden voorzien van de juiste classificatie van privégegevens en de retentieregels eromheen, waardoor de kans op datalekken, hackeraanvallen, interne dreigingen en diefstal aanzienlijk afnemen of worden voorkomen.De persoonsgegevens op een veilige manier maar eenvoudig vindbaar voor geautoriseerde verwerkers bewaren.Inzichtelijk maken wie toegang heeft (gehad) tot persoonlijke gegevens en welke verwerkingen er zijn uitgevoerd (audit trail).

6. Versleuteling

Versleuteling (encryptie) is een van de technologieën die specifiek in AVG zijn genoemd, als een beveiliging tegen verlies van persoonsgegevens, en daarom belangrijk tegen een organisatorische datalek. Versleuteling is belangrijk, omdat in het geval van een datalek, de AVG zegt dat de indien de persoonsgegevens onbegrijpelijk gemaakt zijn voor onbevoegden door versleuteling de organisatie niet verplicht is om de betrokken in kennis te stellen.

Informatie op dataopslag, netwerkarchitecturen en randapparatuur zoals pc’s, USB-sticks en MFP’s en printers moeten worden gecodeerd om gegevens te beveiligen.

7. Continuïteits- / verbeteringsplan

Organisaties moeten begrijpen dat als het initiële project is afgerond en de organisatie voldoet aan de AVG het daar niet eindigt.

Een continuïteits- / verbeterplan moet er voor zorgen dat de veiligheid van persoonsgegevens continu wordt bekeken en indien mogelijk verbeterd. Dat persoonsgegevens volgens de retentie regels worden verwijderd of bewaard en dat processen worden aangepast en geoptimaliseerd.

De functionaris voor de gegevensbescherming is cruciaal voor deze rol, zowel als een sponsor en / of actieve deelnemer. De FG moet door de directie worden gesteund om te kunnen doorpakken en momentum te behouden.

Download hier de whitepaper over AVG

 

Gerelateerd

PDF Bestanden

Whitepaper AVG

Eenvoudig uw documenten beheren

Meer informatie

Bent u klaar voor AVG?

Meer informatie

Focus op besparing

Meer informatie

Beveiliging van multifunctionals

Meer informatie

Digitaal Archiveren

Door het digitaal archiveren van al uw inkomende informatie, behoudt u het overzicht en heeft uw grip op uw documenten. Dit scheelt tijd ...

Meer informatie

Managed Document Services

MDS: het servicepack met veel voordelen voor u

Meer informatie

Print Management

Meer informatie

Document Management

Meer informatie

Factuurherkenning

Meer informatie

Scan & Herken

Creative Document Solutions is dè specialist in het ontwikkelen en inrichten van koppelingen met diverse applicaties.

Meer informatie