Bent u klaar voor de AVG? Doe de quickscan

Van 25 tot en met 29 september was Den Haag het internationale centrum van de Cyber Security Week. Een week lang werden events over Cyber Security georganiseerd voor publieke en private organisaties. Van hackingworkshops tot escape rooms, van expertmeetings tot wargames, van IoT-labs tot matchmaking. Misschien heeft u wel een van deze workshops gevolgd. Of is het veilig beheren van en omgaan met persoonsgegevens voor u nog een ver-van-mijn-bedshow? Dit vraagt door de nieuwe Algemene Verordening Gegevensbescherming echter wel uw volle aandacht! Wilt u snel inzicht krijgen of u al voldoende op de hoogte bent, doorloop dan onderstaande quickscan. Op vraag 1 tot en met 5 kunnen meerdere antwoorden mogelijk zijn.

1. Op welke datum moeten overheden aan de regels uit de Algemene Verordening Gegevensbescherming (AVG) voldoen?

a. 1 januari 2018
b. 25 mei 2018
c. 13 september 2018
d. 1 januari 2019

2. Is de aanstelling van een Data Protection Officer (DPO)/Functionaris Gegevensbescherming (FG) verplicht?

a. Ja, tenzij er al een Privacy Officer is aangesteld.
b. Ja, alleen bij organisaties die qua aard of omvang op grote schaal persoonsgegevens verwerken.
c. Ja, bij alle overheidsorganisaties, uitgezonderd gerechten.
d. Nee, de AVG adviseert slechts dringend, maar vrijblijvend, om een DPO aan te stellen. 

3. Wat zijn de werkzaamheden van een DPO/FG?

a. Beleidsadvisering over gegevensbeveiliging en privacy.
b. Toezicht houden op de naleving van het vastgestelde gegevensbeschermingsbeleid binnen de organisatie.
c. Verzamelen van inventarisaties van gegevensverwerkingen.
d. Het ontwikkelen van interne regelingen voor gegevensverwerkingen.
e. Ontwerpen van software voor gegevensbeveiliging.
f. Het bijhouden van meldingen van gegevensverwerkingen.
g. Behandeling van vragen en klachten van personeelsleden en klanten.
h. Voorlichting over gegevensbeveiliging en privacy. 

4. Is het uitvoeren van een Data Protection Impact Assessment (DPIA) verplicht?

a. Ja, voor elke registratie van persoonsgegevens moet een DPIA worden uitgevoerd.
b. Ja, alleen als een gegevensverwerking waarschijnlijk een hoog privacyrisico heeft.
c. Alleen als de organisatie systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling.
d. Alleen als de gegevensverwerking aan alle criteria van de werkgroep van Europese privacytoezichthouders (WP29) voldoet.
e. Nee, de organisatie is zelf verantwoordelijk voor het in beeld brengen van de risico’s die gegevensverwerking met zich meebrengt.

Dit waren de opwarmvragen. U heeft natuurlijk de goede antwoorden gegeven (1b, 2c, 3abcdfgh en 4b). Toch nog een vraag fout beantwoord? Dan raden wij u aan om uw kennis van de AVG verder te ontwikkelen. Had u ze goed? Dan wensen wij u succes met onderstaande open vragen.

5. Hanteert u een opt-out of een opt-in regime voor uw websites?
 
6. Welke structuuraanpassingen gaat u in uw organisatie doorvoeren als gevolg van de AVG? 

7. Op welke manier verankert u dat bij het ontwerpen van informatiesystemen voor uw organisatie vanaf de start al rekening wordt gehouden met privacyaspecten (Privacy bij design)? 

8. Wat waren uw afwegingen bij de keuze tussen het benoemen van een interne Data Protection Officer en het laten uitvoeren van deze rol door een externe medewerker?
 
9. Hoeveel datalekken heeft u gemeld sinds de inwerkingtreding van de Wet meldplicht datalekken? 
Op welke manier communiceert u in uw organisatie de richtlijnen over hoe vertrouwelijkheid van informatie te classificeren? 

11. Welk cijfer scoort uw organisatie op privacykrampachtigheid (1 = AVG volgens de letter van de wet, 10 = klantbelang gaat voor alles)?Kon u alle vragen direct helder en beargumenteerd beantwoorden? Dan bent u prima op weg om op 28 mei 2018 klaar te zijn voor de AVG. Graag komen wij dan met u in gesprek om te bekijken hoe wij uw kennis en ervaring over de invoering van de AVG beschikbaar kunnen stellen voor andere overheden.

Moest u bij meer dan de helft van de open vragen uzelf achter de oren krabben om te bedenken óf en welke keuzes u bewust heeft gemaakt? Dan kent de invoering van de AVG nog wel wat geheimen voor u en ondersteunen wij u graag om uw toepassingskennis te verrijken. Zodat u op tijd klaar bent als de AVG ingaat.

Bekijk onze open trainingen met betrekking tot de AVG of neem voor een maatwerktraject contact op met Herrick Jellema via 06 – 55 85 24 12 of HJellema@bestuursacademie.nl