AVG compliance in 2024

De AVG is niet nieuw, maar veel bedrijven voldoen er niet meer aan en moeten weer aan de slag. In dit artikel leggen we uit wat je moet doen om weer aan de AVG te voldoen.

Voor wie is de AVG

De AVG geldt in Nederland voor alle organisaties die gestructureerd persoonsgegevens verwerken. Dit zijn alle bedrijven met meer dan 1 medewerker, en bedrijven die digitaal zaken doen. Binnen de organisatie moet er iemand zijn, vaak privacy officer genoemd, die de AVG verplichtingen in de gaten houdt. Dit mag een extern persoon zijn, maar ICT Institute geeft ook trainingen waardoor een medewerker of manager zelf de AVG kan doen. De privacy officer rol kan goed gecombineerd worden met andere functies.

Bij grotere organisaties (250 medewerkers of verwerken van bijzondere gegevens) moet er ook een officiële data protection officer of Functionaris voor de Gegevensbescherming (FG) zijn. Deze moet officieel aangemeld worden en ook aantoonbaar de juiste kennis hebben.

Wat moet je doen voor de AVG

De AVG regelt het gebruik van persoonsgegevens, en zorgt ervoor dat het gebruik van persoonsgegevens eerlijk en transparant is. Om aan de AVG te voldoen, moet je drie dingen doen:

• Documenteren
• Processen opzetten
• Beveiligen en trainen

Een kleine organisatie kan in 1-2 weken AVG-compliant gemaakt worden. Eventueel kan ICT Institute dit in een audit of review controleren. Grotere organisaties zullen een klein privacy-team moeten opzetten en een paar keer per jaar de AVG-stappen opnieuw controleren.

Wat moet je doen voor NIS2

De AVG zelf is in 2024 niet gewijzigd, dus daar hoef je dit jaar niets extra’s voor te doen. Wel nieuw is dat de NIS2 voor veel meer organisaties geldt dan de eerdere NIS1. De NIS2 (officieel Cyberbeveiligingswet) is een nieuwe wet voor organisaties die werken in of voor kritische sectoren. De meeste kleinere organisaties hoeven in 2024 niets extra’s te doen. Dit kun je controleren met de NIS2 zelf-evaluatie.  Wie wel iets moet doen, kan het beste ISO 27001 gebruiken als basis, maar er zijn extra eisen zoals het expliciet trainen van bestuurders. NIS2 training voor bestuurders kan bij of door ICT Institute.

Documenteren

Voor de AVG moet je documenteren waar en hoe persoonsgegevens zijn gebruikt en hoe deze worden beschermd. Daarvoor is het volgende nodig:

• Een register van verwerkingsactiviteiten maken en intern bijhouden. Hierin staan alle verwerkingen, bewaartermijnen en partners. Je hoeft dit niet perfect te doen want het gaat nergens heen, maar zorg wel dat er iets is.
• Verwerkersovereenkomsten afsluiten met alle partijen waarmee je gegevens uitwisselt en leveranciers die bij de persoonsgegevens kunnen.
• Een privacy statement maken waarin aan betrokken personen uitgelegd is hoe hun gegevens worden verwerkt. Het is handig om ook in het privacy statement op te nemen of je cookies gebruikt op de website en zo ja: wat voor cookies. Controleer dit met cookiebot of cookiescript.

Het register van verwerkingsactiviteiten en het privacy statement kun je het beste jaarlijks reviewen om te zorgen dat het klopt. De verwerkersovereenkomsten moet je elke keer meenemen als je een nieuwe overeenkomst sluit of nieuwe dienst gebruikt. Let op dat je het privacy statement controleert met het register van verwerkingsactiviteiten. Deze moeten overeenkomen.

Processen opzetten

De AVG eist dat partijen de volgende processen heeft:

• Een proces voor beveiligingsincidenten en datalekken. Er moet een proces zijn waarmee medewerkers fouten en problemen kunnen melden. Deze moeten geregistreerd worden, beoordeeld worden en als er een incident met persoonsgegevens is, moet deze gemeld worden bij de toezichthouder.
• Een proces voor verzoeken van betrokkenen. Medewerkers, klanten en gebruikers kunnen verzoeken indienen, bijvoorbeeld om hun persoonsgegevens in te zien. Hier moet een proces voor zijn waardoor mensen binnen redelijke tijd een reactie krijgen.
• Een proces voor impact assessment van  nieuwe verwerkingen (DPIA). Als een organisatie processen wijzigt, moet er beoordeeld worden of er sprake is van nieuwe verwerking met hoge risico’s. Zo ja, dan moet er een DPIA (Data Processing Impact Assessment) document gemaakt worden. Wij hebben hiervoor een template ontwikkeld. Er is ook een lijst van 17 soorten projecten zoals cameratoezicht of zwarte lijst waarbij een DPIA verplicht is.

Een organisatie moet aantoonbaar deze processen hebben. Vaak doe je dit door een registratie te maken (mag op sharepoint of in excel, kan ook in een software-pakket).

Beveiligen en trainen

Elke organisatie moet volgens de AVG zorgen voor ‘passende technische en organisatorische maatregelen’. De AVG zelf bevat verder geen details, dus organisaties moeten zelf inschatten wat voor hen passend is. Veel grotere organisaties gebruiken de standaard ISO 27001, en hier staan inderdaad veel goede maatregelen in. Kleinere organisaties kunnen het eenvoudig houden, maar bijvoorbeeld wel zorgen voor betrouwbare software en goede regels voor bijvoorbeeld toegang. De standaard ‘Security Verified‘ kan hierbij ook helpen.
Een belangrijk onderdeel van deze maatregelen is training voor alle medewerkers. Iedereen moet training krijgen over privacy, het beschermen van gegevens en het melden van incidenten. Dit kan bijvoorbeeld met een jaarlijkse awareness-training. Denk aan aanwezigheidsregistratie, bijvoorbeeld met een digitale quiz.

Direct aan de slag

Voor wie zelf aan de slag wilt, biedt ICT Institute een AVG-training van 1 dag, waarin alle eisen worden uitgelegd. De training wordt dit jaar nog gegeven op 1 november 2024 en ook 17 januari 2025. Opgeven kan hier. Wie liever direct zelf aan de slag wil, kan op deze pagina alle AVG templates vinden.

bron afbeelding: kajetan-sumila via unsplash