Mogelijk een verrassende vraag? Toch schrijft de AVG voor dat je afhankelijk van de omvang en risico in het verwerken van persoonsgegevens passende maatregelen moet nemen. Eenvoudig gezegd verwacht de AVG van een ZZP stratenmaker minder maatregelen dan van een financiële instelling zoals een bank.
Wat is dan voor jouw organisatie van toepassing?
Als wij, DPO Partner, een AVG Scan uitvoeren brengen wij in beeld in wat de activiteiten zijn van je organisatie. Verwerk je persoonsgegevens van consumenten (B2C), kinderen of kwetsbare personen? Hoeveel medewerkers heb je in dienst en wat zijn de werkzaamheden van jouw organisatie? Werk je alleen in een marktgebied van business to business(B2B), dan verwerk je alleen persoonsgegevens van directeur/bestuurders en zakelijke contactpersoonsgegevens van betrokkene. Tevens kan in de branche waarin jouw organisatie actief is zijn voorzien van aanvullende wet- en regelgeving.
Volwassenheidsniveaus AVG
Om de mate waarin je aan de AVG moet voldoen concreet te maken kun je maturity levels hanteren. Om volledig aantoonbaar aan de AVG te voldoen is niveau Managed van toepassing. Dit niveau komt overeen met artikel 24 van de AVG waarin de maatregelen worden geëvalueerd en indien nodig geactualiseerd. Een PDCA (Plan Do Check Act)die volledig in de lijn is geïmplementeerd en waarbij de beveiliging van (persoons)gegevens risico-gebaseerd en proactief wordt opgepakt. Dat wil zeggen: het management is in control en stuurt erop dat kwaliteit van informatieveiligheid en privacy wordt gemeten en zo nodig verbeterd (check – act). Rolverantwoordelijkheden zijn met behulp van 3 lines of Defence belegd.
Neem contact op met DPO Partner om te bepalen in welke mate jouw organisatie moet voldoen aan de AVG.
Vriendelijke groet,
Frans Pijnenborg CCP DPO
Functionaris voor Gegevensbescherming
www.dpopartner.nl