Voldoen aan de AVG, in welke mate?

Mogelijk een verrassende vraag? Toch schrijft de AVG voor dat u afhankelijk van de omvang en risico in het verwerken van persoonsgegevens passende maatregelen moet beschermen. Eenvoudig gezegd verwacht de AVG van een ZZP stratenmaker minder maatregelen dan van een financiële instelling zoals een bank.

Wat is dan voor uw organisatie van toepassing?

Als wij, DPO Partner, een AVG Scan uitvoeren brengen wij in beeld in wat de activiteiten zijn van uw organisatie. Verwerkt uw persoonsgegevens van consumenten (B2C), kinderen of kwetsbare personen? Hoeveel medewerkers heeft u in dienst en wat zijn de werkzaamheden van uw organisatie? Werkt alleen in een marktgebied van business to business(B2B), dan verwerkt alleen persoonsgegevens van directeur/bestuurders en zakelijke contactpersoonsgegevens van betrokkene. Tevens kan in de branche waarin uw organisatie actief bent zijn voorzien van aanvullende wet- en regelgeving.

Volwassenheidsniveaus AVG

Om de mate waarin u aan de AVG moet voldoen concreet te maken zijn maturity levels (zie bijgaand foto). Om volledig aantoonbaar aan de AVG te voldoen is niveau Managed van toepassing. Dit niveau komt overeen met artikel 24 van de AVG waarin de maatregelen worden geëvalueerd en indien nodig geactualiseerd. Een PDCA (Plan Do Check Act)die volledig in de lijn is geïmplementeerd en waarbij de beveiliging van (persoons)gegevens risico-gebaseerd en proactief wordt opgepakt. Dat wil zeggen: het management is in control en stuurt erop dat kwaliteit van informatieveiligheid en privacy wordt gemeten en zo nodig verbeterd (check – act). Rolverantwoordelijkheden zijn met behulp van 3 lines of Defence belegd.

Neem contact op met DPO Partner om te bepalen de mate waarin uw organisatie moet voldoen aan de AVG.

Vriendelijke groet,

Frans Pijnenborg CCP DPO

Functionaris voor Gegevensbescherming