Inrichting en borging AVG
De Algemene verordening gegevensbescherming (AVG) stelt een aantal eisen waaraan je als organisatie moet voldoen. BMC helpt organisaties met de inrichting en borging van maatregelen die voldoen aan de AVG-wetgeving. Zo ondersteunen we bijvoorbeeld met ons zelf ontwikkelde control framework.
Benieuwd wat BMC voor u kan betekenen? Lees dan verder of neem contact met ons op.
Op deze pagina:
Aandachtsgebieden inrichting en borging AVG
Beleid en organisatie
Verwerkingenregister
Verwerkersovereenkomst
Informatiebeveiliging
Meldplicht datalekken
Gegevensbeheer, waaronder bewaartermijnen
Nieuwe en gewijzigde verwerkingen, waaronder de DPIA
Logging en privacy
Onze dienstverlening op het gebied van inrichting en borging AVG
Praktijkcases en oplossingen
Adviseurs inrichting en borging AVG
Actueel
Toon alles
Aandachtsgebieden bij inrichting en borging AVG
Bij de inrichting en borging van de AVG zijn zowel organisatorische als technische maatregelen van belang. Hieronder staan essentiële aandachtsgebieden waar BMC organisaties in ondersteunt.
Beleid en organisatie
Binnen organisaties is het bestuur eindverantwoordelijk voor privacy, waaronder de inrichting en borging van de AVG. Een goede inrichting van privacy vraagt om een duidelijk beleid en een goede inrichting van de governance. Dit stelt het bestuur dan ook daadwerkelijk in staat om de eindverantwoordelijkheid te nemen. BMC ondersteunt organisaties bij de inrichting van beleid en governance op het gebied van privacy.
Meer over organisatie, beleid, governance en compliance
Verwerkingenregister
Om persoonsgegevens goed te kunnen beschermen en om ervoor te zorgen dat ze op een juiste manier worden gebruikt, is overzicht nodig. Een verwerkingenregister is dé manier om dit overzicht te krijgen. BMC ondersteunt organisaties bij het inventariseren van verwerkingen van persoonsgegevens en het opstellen en verifiëren van een verwerkingenregister.
Meer over het verwerkingenregister
Verwerkersovereenkomst
Wanneer een organisatie de verwerking van persoonsgegevens aan een leverancier toevertrouwd, is het belangrijk dat die daar net zo zorgvuldig en integer mee om gaat als de organisatie zelf.
Om dit juridisch te borgen is het afsluiten van verwerkersovereenkomsten verplicht. In zo’n verwerkersovereenkomst moeten afspraken worden gemaakt over bijvoorbeeld het informeren van betrokken, de rechten van betrokkenen en over de verwerking van gegevens buiten Nederland, de EU of de EER. BMC ondersteunt organisaties in het onderhandelen, voorstellen en afsluiten van verwerkersovereenkomsten.
Meer over de verwerkersovereenkomst
Informatiebeveiliging
De beveiliging van informatie is in de publieke sector van bijzonder belang, of het nu gaat om gemeenten, zorginstellingen, scholen of woningcorporaties. Al deze instanties werken met gevoelige gegevens van inwoners, cliënten en leerlingen.
Naast de vertrouwelijkheid is het voor de steeds meer gedigitaliseerde bedrijfsprocessen essentieel dat informatie beschikbaar is wanneer nodig en dat informatie juist en actueel is. BMC helpt organisaties bij de inrichting, besturing en evaluatie van de informatiebeveiliging.
Meer over informatiebeveiliging
Meldplicht datalekken
Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of als onrechtmatige verwerking van de persoonsgegevens niet uitgesloten is.
Een datalek moet zowel volgens de AVG als de Wpg zo snel mogelijk, in ieder geval binnen 72 uur, worden gemeld aan de autoriteit persoonsgegevens, tenzij er waarschijnlijk geen risico voor de privacy van betrokkenen is. BMC helpt organisaties bij het melden en afhandelen van datalekken.
Gegevensbeheer, waaronder bewaartermijnen
Zorgvuldig omgaan met persoonsgegevens betekent ook deze niet langer te bewaren dan nodig. Dit voorkomt dat verouderde of foutieve gegevens worden gebruikt. Daarnaast zijn de gevolgen van een datalek kleiner wanneer deze gegevens zijn gewist. Bij het bepalen van bewaartermijnen wordt soms uitgegaan van wettelijke vereisten. BMC helpt organisaties bij zorgvuldig gegevensbeheer.
Nieuwe en gewijzigde verwerkingen, waaronder de DPIA
Voor de verwerking van persoonsgegevens met een hoog risico is een Data Protection Impact Assessment (DPIA) vereist. Dit is een grondige analyse van rechtmatigheid en risico’s, waaruit aanvullende (beveiligings)maatregelen kunnen voortvloeien.
De DPIA is bedoeld om vooraf risico’s van een bepaalde gegevensverwerking te kunnen inschatten en tijdig passende maatregelen te nemen om die risico’s te beperken. De DPIA wordt ook wel Privacy Impact Assessment (PIA) genoemd. BMC helpt organisaties bepalen of én waarom een DPIA verplicht is.
Logging en privacy
Om informatie te beveiligen en inbreuken van buiten te voorkomen, is een analyse van loggegegevens nodig. Het gaat hierbij vaak om persoonsgegevens. Om de privacyrisico’s te beperken, moet veilig met deze gegevens om worden gegaan. BMC adviseert u hier graag over. Lees hieronder meer over onze dienstverlening op het gebied van logging.
Meer over logging
Onze dienstverlening op het gebied van inrichting en borging AVG
Advies
BMC helpt organisaties op verschillende gebieden rondom de inrichting en borging van de AVG. Daarnaast hebben we een control framework ontwikkeld dat inzicht biedt in de huidige status van de privacy binnen een organisatie en waar de verbeterpunten zitten.
Lees meer over het control framework
Naast advies en onderzoek kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals. Ook leveren wij persoonlijke opleidingstrajecten en in-company trainingen op maat. Deze trainingen worden afgestemd op de specifieke behoeften van uw organisatie.
Praktijkcases en oplossingen
Toon alles
Adviseurs inrichting en borging AVG
Meer weten over de inrichting en borging van de AVG? Neem dan contact op met één van onderstaande adviseurs:
Alex Commandeur
partner privacy, CIPP/E
"Als senior adviseur heb ik ruime ervaring binnen het openbaar bestuur. Mijn brede achtergrond in de publieke sector in verschillende rollen en verantwoordelijkheden maken dat ik mij makkelijk kan verplaatsen in mijn gesprekspartners. Een beetje humor en relativeringsvermogen helpen mij daarbij."
Julius Duijts
managing consultant, CMC CISSP CEH CIPP/E
"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."
Meer informatie over privacy
Deze expertise valt onder privacy binnen het domein data en dienstverlening. Bekijk ook andere expertises binnen dit domein: