Bij ons is de AVG op orde.
Als de AVG ter sprake komt is dit een vaak voorkomend antwoord.
Een nogal stellige uitspraak.
Temeer omdat er veel moet worden gedaan om te kunnen zeggen dat er voldaan is aan de vereisten in de AVG.
En zonder een periodieke test op de AVG bestendigheid is er dan nog steeds niet veel over te zeggen.
Er wordt vaak gedacht dat als de ICT op orde is, er is voldaan aan de AVG.
Of als er registers worden bijgehouden, dat voldoende is.
Geen van deze twee en ook de combinatie is niet voldoende.
Het idee dat het op orde is, wordt veroorzaakt door onbekendheid met alle verplichtingen die de AVG oplegt.
Het gaat er niet om wat er al voorhanden en geregeld is, maar om wat er niet is en wat niet goed geregeld is.
Met zicht daarop wordt duidelijk wat er nog moet worden gedaan en hoe.
De verplichtingen kunnen worden opgedeeld in twee grote delen.
Het eerste onderdeel gaat erover hoe de organisatie is ingericht.
Het tweede deel gaat over de technische infrastructuur (de ICT).
Alleen de combinatie van deze twee onderdelen dekt alle verplichtingen.
Deze onderdelen zijn uitgewerkt in de AVG en pas als per onderdeel is vastgesteld of aan de AVG wordt voldaan en er regelmatig wordt gecontroleerd of het nog functioneert is de AVG op orde
Om het goed te kunnen regelen moet gewerkt worden met het volgende stappenplan:
· Maak een volledig overzicht van welke eisen er zijn vastgelegd in de wetsartikelen.
· Stel vast hoe die kunnen worden omgezet in praktische uitvoerbare regels en acties.
· Verwerk ze in, liefst al bestaande, procedures, processen en regels van het bedrijf.
· Controleer of ze op de juiste manier zijn verwerkt.
· Test periodiek of alles nog op de juiste manier functioneert
· Maak een overzicht van alle benodigde registers.
· Controleer of deze registers bij zijn.
· Leg de resultaten van de controles vast en wat aangepast en verbeterd moet worden.
· Verbeter tenslotte de zwakke punten tot een aanvaardbaar niveau.
Pas als deze stappen zijn doorlopen en er geen zwakke punten meer zijn, is er voldoende zekerheid dat aan de vereisten in de AVG wordt voldaan.
Er is voldaan aan de AVG als een bedrijf zich maximaal heeft ingespannen om er aan te voldoen – een inspanningsplicht -.
Als er dan toch iets gebeurt, kan het bedrijf aantonen dat het aan de inspanningsplicht heeft voldaan.
Het voorkomt boetes, het bedrijf loopt geen of beperkte reputatieschade, er zijn geen (beperkte) discussies met de verzekeraar en de kans op (succesvolle) claims zijn laag.
