Informatiebeveiliging begint bij informatiebewustzijn, awareness. Bij een wijziging van of aanvulling op wetgevingen is dat niet anders. Security awareness is de basis voor betere informatiebeveiliging, en het juiste niveau de verantwoordelijkheid van de gehele organisatie – niet alleen het probleem van de IT-afdeling. De boetes bij het niet volgen van privacywetgeving zijn onder de Wet bescherming persoonsgegevens (Wbp) al niet mals, maar vanuit de EU kan de Autoriteit Persoonsgegevens sancties van maar liefst 20 miljoen euro of 4 procent van de wereldwijde omzet opleggen.

Zorg er daarom voor dat de relevante mensen in de organisatie, in ieder geval zeker het management en de beleidsmakers, op de hoogte zijn van de nieuwe privacywetgeving. De invloed van de overstap op de AVG moet beoordeeld worden om de juiste maatregelen te kunnen nemen. Afhankelijk van de organisatie en het businessmodel kan dat een aardige inspanning vereisen, dus wacht niet te lang. De Autoriteit Persoonsgegevens (AP) kan je op weg helpen.

Lees meer over awareness en informatiebewustzijn.

Ondernemingen en organisaties die persoonsgegevens verwerken, hebben onder de AVG een documentatieplicht. Je moet aan kunnen tonen dat er volgens de regels van de AVG wordt gewerkt. Dat wil zeggen dat er in kaart gebracht moet worden welke persoonsgegevens er verwerkt worden, met welk doel, waar ze vandaan komen en met wie ze worden gedeeld. En let op! Dit geldt ook voor andere bedrijven die uw gegevens verwerken zoals een extern salarisadministratie bedrijf of een cloud dienst.

De documentatieplicht heeft ook betrekking op de bestaande meldplicht voor datalekken. Die meldplicht is in grote lijnen hetzelfde als de huidige wetgeving waar de Autoriteit Persoonsgegevens op toeziet, maar de AVG stelt strengere eisen aan de registratie van datalekken binnen een organisatie: deze moeten volledig gedocumenteerd worden, zodat de meldplicht gecontroleerd kan worden.

Nieuw ten opzichte van de huidige wetgeving is een preventief instrument om risico’s in kaart te brengen: een Privacy Impact Assessment. Onder deze PIA ben je verplicht om privacyrisico’s van gegevensverwerking vooraf in kaart te brengen, en indien nodig te handelen om die risico’s te verkleinen. Het is daarom slim om alvast een plan van aanpak op te stellen voor bestaande processen met een hoog risico. Lees meer over de PIA op de website van de Autoriteit Persoonsgegevens.

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Dat geldt ten eerste voor alle overheidsinstanties en publieke organisaties. Naast de rijksoverheid, provincies en gemeenten zijn dat ook bijvoorbeeld zorg- en onderwijsinstellingen. Daarnaast zijn organisaties die op grote schaal mensen volgen of profileren verplicht om een FG aan te stellen. Denk aan verzekeraars en beveiligingsbedrijven. Tot slot maakt verwerking van bijzondere persoonsgegevens het organisaties verplicht om een functionaris gegevensbescherming te benoemen. Dat zijn bijvoorbeeld gegevens over gezondheid, ras, geloofsovertuiging of strafrechtelijk verleden. Bepaal daarom nu alvast of dit van toepassing is, en stelt de werving van selectie van de functionaris niet te lang uit. Je leest er hier meer over.

Wil je weten hoe het met het informatiebewustzijn in jouw organisatie gesteld is? De security awareness training van Awareways start met een meting die concreet inzicht geeft in het gedrag, de sociale en de culturele aspecten die van invloed zijn op een informatie- en beveiligingsbewuste organisatie.