Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing op alle organisaties.

Vanaf deze dag geldt in heel Europa dezelfde privacywetgeving. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment niet meer.

De vraag die de Raad van Toezicht zich moet stellen is: “Wat betekent dit voor onze organisatie? Voldoen wij op tijd aan de eisen die gesteld worden in de Verordening en hoe blijven wij als RvT op de hoogte van maatregelen die onze organisatie neemt?”

Iedere organisatie heeft 2 jaar de tijd gehad zich voor te bereiden op deze nieuwe wetgeving. Op 4 mei 2016 is de AVG gepubliceerd. Na deze datum is de organisatie als het goed is aan de slag gegaan met de voorbereidingen. Heeft de bestuurder de RvT meegenomen in de genomen maatregelen? Heeft er bijvoorbeeld een nulmeting plaats gevonden waar de organisatie staat en welke maatregelen genomen moeten worden?

De Autoriteit Persoonsgegevens heeft ter voorbereiding ‘Het AVG-10 stappenplan’, in 10 stappen voorbereid op de avg, opgesteld en bespreekt hierin de 10 belangrijkste AVG-thema’s.

Maar, wat is de rol van de RvT bij de invoering van de AVG?

Wij zoomen in op de volgende items voor de Raad van Toezicht:

Bewustwording

Zijn wij ons als RvT voldoende bewust van de consequenties van de invoering van de AVG? Is het onderwerp met enige regelmaat geagendeerd in het overleg van de RvT met de directeur-bestuurder? Is het bestuur zich voldoende bewust welke processen van de organisatie de AVG raakt, wie hierbij betrokken zijn? Denk hierbij aan de medewerkers, de leveranciers en ook de partners.

Sparringpartner

Voor bestuurders van organisaties is de wetgeving nieuw. Adviseurs bieden zich aan om de bestuurder te helpen. Ook brancheorganisaties faciliteren ondersteuning zodat kennis en kosten kunnen worden gedeeld. De leden van de RvT kunnen op dit gebied heel goed vanuit de eigen organisatie, het netwerk en hun achtergrond als sparringpartner input leveren aan de bestuurder.

Organiseer een brainstormsessie en ga na welke persoonsgegevens de organisatie vastlegt. Wanneer en waarvoor deze gegevens worden gebruikt? (Mogen we die nieuwsbrief blijven versturen?) En hoe kunnen wij ervoor zorgen dat onze leveranciers en partners ook op tijd aan de AVG voldoen?

Meldplicht bij datalekken

Is er een procedure opgesteld wanneer er een datalek optreedt? Hoe wordt gehandeld binnen de organisatie? En wanneer wordt de Raad van Toezicht hierin gekend? Een datalek kan groot, maar ook ‘klein’ zijn. Als een brief op een verkeerd adres wordt bezorgd en geopend wordt geretourneerd is er al sprake van een datalek.

Tip: Houd een incidentenregister bij. Agendeer het register periodiek bij de vergaderstukken van het overleg met de RvT. Is er sprake van een groot incident? In dat geval informeert de bestuurder de RvT direct.

Monitoring

De RvT stelt zich ook op als toezichthouder in dit traject. De bestuurder legt tijdig een nulmeting aan de RvT voor, geeft inzicht in de te nemen maatregelen en houdt de RvT op de hoogte van de genomen maatregelen.

Ter geruststelling

Wat wordt er nu daadwerkelijk verwacht van organisaties per 25 mei 2018?

Moet u klaar zijn?

Het is belangrijk te laten zien dat ook uw organisatie zich bewust is van de impact van de AGV, weet welke persoonsgegevens worden vastgelegd en op de hoogte is van de gegevens die worden gebruikt. Heel belangrijk: stel eisen aan leveranciers en ketenpartners en leg deze vast in de dienst- en/of samenwerkingsovereenkomst.

Bestaat er behoefte om eens van gedachten te wisselen over de AVG binnen uw Raad van Toezicht? Neem contact op met Cirkeltoezicht!
M: info@cirkeltoezicht.nl