Privacy Officer

Met ingang van 2018 is de nieuwe wet AVG een feit. De “Algemene Verordening Gegevensbescherming” vervangt de WBP, de “Wet Bescherming Persoonsgegevens”. Kunt u zeggen dat uw bedrijf volledig op de hoogte is van wat de AVG van u verwacht? Bent u er zeker van dat uw beleid en organisatie zijn afgestemd op wetsmatig handelen? Als daarop uw antwoord “nee” is, dan is dat geen schande. Veel bedrijven hebben de klok horen luiden, maar weten niet waar de klepel hangt.

IP4Sure kan uw bedrijf helpen bij het voldoen aan de nieuwe wet AVG, door middel van het aanbieden van een Privacy Officer. Dit is een FG, ofwel een “Functionaris voor Gegevensbescherming”, een onafhankelijk persoon binnen uw organisatie die rapporteert en adviseert over de naleving van de AVG. Let wel: wanneer uw organisatie op grote schaal gevoelige persoonsgegevens verwerkt (gezondheidszorg bijvoorbeeld) of structureel mensen observeert (fysiek danwel digitaal), dan is het volgens de nieuwe wet VERPLICHT een Privacy Officer aan te stellen.

De onafhankelijke waakhond: POaaS

IP4Sure biedt u de mogelijkheid om een Privacy Officer as a Service (PoaaS) in te huren. Dat betekent geen FTE op de loonlijst van uw bedrijf, maar on demand dienstverlening wanneer dat nodig is. Een vriendelijk business model, waarmee u juridisch gezien correct handelt en toch geld bespaart. Een enorm voordeel voor uw bedrijf is dat onze Privacy Officers voorop lopen qua kennis en kunde. U weet zich te allen tijde verzekerd van een kracht die op de hoogte is van de allerlaatste stand van zaken.

Hoe gaat de Privacy Officer te werk

De Privacy Officer wordt ingezet om bewustwording te creëren bij uw medewerkers. Hij zal inventariseren of uw organisatie, daar waar het relevant is, voldoet aan de nieuwe AVG. Met de bevindingen die daaruit voortkomen zal de Privacy Officer samen met u een beleid bepalen, waarmee u zich verzekerd ziet van een goede compliance. Hij zal uw bedrijf en de verantwoordelijke medewerkers van A tot Z begeleiden met de implementatie van alles wat benodigd is om te voldoen aan de AVG.

Onze Privacy Officer is “accountable”, dat wil zeggen dat hij de verantwoordelijkheid draagt voor het voldoen aan alle voorwaarden onder de huidige WBP en straks de AVG. U krijgt op een structurele manier grip op alle thema’s rondom privacy- en information security binnen uw bedrijf en u bent in staat om snel actie te ondernemen bij eventuele problemen. Zo bent u in staat om aan de eisen van de (nieuwe) wet te voldoen, boetes buiten de deur te houden en, niet onbelangrijk, geen imagoschade op te lopen.

Tot slot adviseren wij u om kennis te nemen van het bondige uittreksel hieronder, waarin wij u globaal op de hoogte brengen van de AVG.

De wet AVG in vogelvlucht

 

-Activiteiten die eerst niet onder de privacywet vielen, doen dat nu wel

Ook IP- en MAC-adressen, cookies en dergelijke vallen nu onder die wet.

-Uw privacyverklaring moet een soort bijsluiter worden in begrijpelijke taal

U dient uw klanten te wijzen op alle rechten en de mogelijkheid een klacht tegen uw bedrijf in te dienen.

-Datalekken moeten intern worden gedocumenteerd

Nu hoeft u alleen datalekken te documenteren die u aan de toezichthouder moet melden. Vanaf 25 mei 2018 bent u verplicht ALLE datalekken te documenteren.

-Alle verwerkingen van persoonlijke gegevens moeten gedocumenteerd worden

Zelfs uw personeelsadministratie en die nieuwsbrief die u verstuurt

-Alle leveranciers en afnemers moeten met u een verwerkersovereenkomst afsluiten

Hierin maakt u afspraken over de omgang met persoonlijke gegevens. Besteedt u diensten uit waarbij persoonlijke gegevens betrokken zijn? Dan heeft u toestemming nodig van de klant.

-Boetes kunnen het einde van uw bedrijf betekenen

Onder de oude privacywet was de maximale boete per overtreding € 900.000,00. Onder de AVG is dit bedrag € 20.000.000,00 of 4% van de wereldwijde jaaromzet.

-Risicovolle bewerkingen verlangen een PIA

Wilt u een risicovolle bewerking uitvoeren, dan dient u een Privacy Impact Assessment uit te voeren. Als de resultaten daarvan bekend zijn en geïmplementeerd, dan pas mag u de risicovolle bewerking uitvoeren

-Verzamel zo min mogelijk privacygvoelige informatie en bewaar deze zo kort mogelijk

U wordt geacht het minimale aan persoonsgegevens in uw beheer te hebben. Slechts datgene wat u op dat moment nodig heeft. Niet meer nodig? Dan deleten.

-Software en diensten moeten vanaf de basis rekening houden met privacy.

Diensten en software moeten vanaf de basis zo ontwikkeld zijn, dat er bij elke stap rekening gehouden is met privacyaspecten. Standaardinstellingen moeten daarbij maximale privacybescherming bieden. Privacy by default dus.

-Uw IT-security moet up to date zijn en blijven

U dient te zorgen voor het beveiligen van persoonlijk gegevens middels encryptie, 2F authenticatie, uw ICT-systemen moeten met regelmaat worden onderzocht op risico’s en er moet een actief beveligingsbeleid gevoerd worden.

-Intern privacybeleid publiceren is verplicht

Uw medewerkers dienen hun rol te kennen inzake het privacybeleid en getrained worden op regelmatige basis.

-Uw organisatie moet weten hoe om te gaan met aanvragen van personen

Wanneer iemand verzoekt om inzage te krijgen in zijn of haar gegevens, of wanneer er verzocht wordt om verouderde gegevens te vernietigen, dan dient uw bedrijf binnen een maand voldaan te hebben aan dit verzoek.

-Slaat u persoonsgegevens op in online diensten?

Zoja, dan moeten de personen van wie u gegevens opslaat in staat worden gesteld deze data te exporteren naar een standaardformaat en zelf op te kunnen slaan. Ook foto’s, social media berichten en forumbijdragen vallen hieronder.

-Slaan buitenlandse partijen gegevens voor u op?

Wanneer u samenwerkt met buitenlandse partijen die gegevens voor u opslaan, dan dient u te weten of dit binnen of buiten de EU gebeurt.  In het laatste geval dient er te worden voldaan aan strikte regels en dient het betreffende land door de Europese Commissie te zijn gecertificeerd. Uw klanten mogen van u eisen dat hun gegevens echter niet buiten de EU terechtkomen.

-Interesseprofielen en risicoanalyses dienen verklaard te worden

Wanneer u interesseprofielen of risicoanalyses maakt van uw klanten of bezoekers, dan dient u hen uit te kunnen leggen op welke wijze u dit doet en wat uw bedoelingen daarmee zijn.

-Toegangsbeveiliging

Elke vorm van toegangsbeveiliging waarbij biometrie wordt toegepast (vingerafdruk scan, irisscan, gezichtsherkenning) dient aan strenge veiligheidseisen te voldoen onder de AVG.

Niet alleen een Privacy Officer van IP4Sure kan een interessante dienst voor uw bedrijf zijn, maar ons totale pakket aan producten en diensten stelt u in staat om geheel binnen de grenzen van de nieuwe AVG te opereren.

Interesse in een Privacy Officer? Neem contact met ons op!

Bel naar +31 40-7600034
Mail naar info@ip4sure.nl

Of ga naar onze contactpagina.