Kies voor slim en effectief beheer van AVG
Verrassend doordacht
Laat je verrassen door het gemak waarmee je organisaties begeleidt bij persoonsgegevensbescherming.
De AVG wet
De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse vertaling van Europese wetgeving op het gebied van privacy: General Data Protection Regulation (2016/679 GDPR). In deze wet staan de eisen waaraan moet worden voldaan bij het verwerken (verzamelen, gebruiken en opslaan) van persoonsgegevens en het garanderen van de rechten van betrokkenen zijn opgenomen in de AVG.
De AVG heeft betrekking op 'persoonsgegevens'. Dat is alle informatie die herleidbaar is tot een persoon. Ook wanneer deze gegevens versleuteld of gepseudonimiseerd zijn, vallen ze onder het regime van de AVG. Alleen als gegevens op geen enkele manier herleidbaar zijn tot een persoon, is de verordening niet meer van toepassing.
Wat is AVG-software?
AVG-software kan uitkomst bieden aan organisaties die structuur willen aanbrengen in het legitimeren van de verwerking van persoonsgegevens. De software biedt inzicht wie verantwoordelijk is voor welke verwerking en welke eisen op die verwerking van toepassing zijn. Daarnaast biedt het talloze koppelingen met ondersteunende tools zoals DPIA en beheer van verwerkersovereenkomsten.
Waarom onze software voor AVG?
- Snelle ingebruikname met voorbeelden uit de Smarthub
- Optimaliseert de onderlinge samenwerking tussen afdelingen
- Verrassend doordachte functionaliteit
- Effectieve opvolging van datalekken en verzoeken
- Ondersteunt kaders van IBD en SURF en meer
- Vertrouwd door meer dan 1000 professionals
Voldoe ik aan de AVG?
Goed privacybeleid opzetten dat voldoet aan de eisen van de AVG lijkt misschien een hele opgave. Maar, met de TrustBound Privacymanagement software wordt dat een overzichtelijk proces.
Wat moet je allemaal doen voor de AVG?
Om überhaupt persoonsgegevens te mogen verwerken moet je organisatie een van de zes grondslagen (redenen) hebben die de AVG noemt. Je moet zelf beoordelen welke grondslagen voor jouw verwerkingen gelden.
Bij de AVG gaat het namelijk vooral om aantoonbaarheid (accountability): je moet laten zien dat jouw organisatie op een fatsoenlijke, rechtmatige en ethisch wenselijke manier omgaat met persoonsgegevens.
De AVG kent twee soorten verplichtingen:
-
Informatieplicht: je moet personen informeren welke persoonsgegevens jouw organisatie verwerkt, je moet duidelijk (kunnen) maken waarom, en of je die gegevens deelt of doorverkoopt en aan wie.
-
Verantwoordingsplicht: je moet een verwerkingsregister bijhouden, je moet een DPIA uitvoeren voor risicovolle verwerkingen om na te gaan welke risico’s je loopt en je moet een register bijhouden van verzoeken en datalekken.
Datalekken moet je dus altijd registreren, maar of je ze moet melden bij de Autoriteit Persoonsgegevens (AP) hangt af van het risico op schade; dat risico moet je zelf inschatten. Soms is er een meldplicht.
Boete
Bij overtreding van de AVG kan de AP een boete opleggen, die kan oplopen tot 20 miljoen euro.
Ben jij FG of Privacy Officer en verantwoordelijk voor AVG-beleid?
Dan moet je kunnen aantonen dat je organisatie daarop is ingericht en dat je de juiste technische en organisatorische maatregelen hebt genomen. Een privacy informatie management systeem (PIMS) helpt je om de verwerking van gegevens te monitoren en in een handomdraai goede rapportages voor het bestuur te genereren.
AVG Software helpt
Met het TrustBound GRC platform hou je zicht op de status van de technische en organisatorische maatregelen, eventueel ondersteund door relevante normen en toetsingskaders. Met ons Compliance Dashboard heb je continu, realtime overzicht over alle aspecten van AVG-beleid. Denk bijvoorbeeld aan gegevensverwerkingen, de DPIA's, de geïdentificeerde risico’s en de voortgang van de lopende afspraken. Je beheert je eigen taken en overziet de taken van je collega’s. Het platform biedt ook uitgebreide mogelijkheden voor rapportage, ISMS-tooling, koppeling aan rapportages-oplossingen en exports in PDF, Word of Excel.
Makkelijker gaat het niet worden.
De AVG-tool van het GRC-Platform: visueel, realtime en tijdbesparend
In de AVG ligt de nadruk op accountability: je moet vooral kunnen aantonen dat jouw organisatie de AVG-verplichtingen continu serieus neemt en zichzelf meetbare en haalbare doelen stelt ten aanzien van gegevensbescherming.
Visuele weergave
Dat is dan ook de kracht van het Compliance Dashboard van TrustBound: het hart van onze GRC-tool en een visuele weergave van je beleid. Met het Compliance Dashboard krijg je realtime inzicht in alle relevante beheersactiviteiten ten aanzien van privacybescherming.
Met de snelle koppelings- en rapportagefuncties heb je op ieder moment inzicht in de AVG-relevante beheersactiviteiten. Bijvoorbeeld ook in belangrijke incidenten in je informatiebeveiliging of AVG-verzoeken van betrokkenen, inclusief de termijnen voor afhandeling.
Daarom is het Compliance Dashboard veel completer en tijdbesparender dan Excel.
Kijk hier hoe het Compliance Dashboard van TrustBound jouw AVG-verantwoordelijkheden kan vergemakkelijken.
Risico’s en maatregelen
Privacyrisico’s zijn vervelend genoeg, maar met een sluitend systeem voor signalering, registratie en het opstellen van een behandelplan voorkom je dat ze een groot probleem worden.
Overzicht over risico’s
TrustBound biedt een uitgebreide omgeving waarin je gesignaleerde risico’s kunt registreren, typeren naar domein en prioriteren. Hierin vermeld je ook de verantwoordelijke en de procesmatige eigenaar, zodat je kunt sturen met gerichte maatregelen en taken.
Na het vastleggen en classificeren van de risico’s kun je direct maatregelen toekennen, zoals het handhaven van de bewaartermijn en het beperken van toegang tot persoonsgegevens. Ook het beveiligen van de toegang tot persoonlijke data, het loggen van gebruik of controleren of toeleveranciers of ketenpartners gegevens wel binnen de EER opslaan.
Wil je zien hoe je met TrustBound risico’s kunt signaleren en managen?
Het verwerkingsregister: meestal een verplichting
Een verwerkingsregister, waarin je vastlegt welke persoonsgegevens je verwerkt, is voor de meeste organisaties een verplichting op basis van de AVG.
Bij organisaties met meer dan 250 medewerkers is het sowieso verplicht, maar bij minder dan 250 medewerkers vaak ook, bijvoorbeeld als de verwerking van persoonsgegevens niet incidenteel is.
Verwerkingsregister: volledig AVG-compliant
In TrustBound GRC is het verwerkingsregister zo ingericht dat het de eisen, die de AVG aan de registratie stelt, volledig ondersteunt. Het op de juiste en volledige manier invoeren van de persoonsgegevens gaat heel gemakkelijk. Hier voer je ook het doel van de verwerking en de bewaartermijnen in.
In TrustBound GRC is het verwerkingsregister integraal gekoppeld aan de andere onderdelen van de AVG-tool, ook aan het overzicht van leveranciers en systemen, zodat de gehele keten van verwerkingspartners zichtbaar wordt.
Heel gebruikersvriendelijk is dat de gegevens uit het verwerkingsregister meteen worden gekoppeld aan het uitvoeren van een risicoanalyse of DPIA, zodat je die gericht kunt uitvoeren. Verantwoordelijkheden voor taken en beheerprocedures zijn in één oogopslag zichtbaar.
Datalekken: altijd registreren, vaak meldplicht
Wat is een datalek?
De AVG omschrijft een datalek als ‘inbreuk’ op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Ook onrechtmatige verwerking
Let op: het wat vage begrip ‘inbreuk’ betekent dat niet alleen het vrijkomen, verliezen, lekken of stelen van gegevens een datalek inhoudt, maar ook de onrechtmatige verwerking van persoonsgegevens – bijvoorbeeld verwerking in strijd met de grondslag of met het doel van de verwerking. Ook het (tijdelijk) niet beschikbaar zijn van gegevens kan onder omstandigheden een inbreuk opleveren.
Meldingsplicht bij datalek
Het kan verplicht zijn om een datalek te melden bij de Autoriteit Persoonsgegevens; dat moet dan liefst onmiddellijk, maar in elk geval binnen 72 uur na constatering van het lek. Je moet zelf inschatten of je het datalek moet melden, door een inschatting te maken van het risico voor de betrokkene. Op de site van de AP staat hiervoor uitgebreide ondersteuning. Als het datalek resulteert in een hoog risico voor de betrokkene, moet je hem of haar ook informeren.
Hoe dan ook, je moet zorgen dat je bent voorbereid op een datalek. Het Compliance Dashboard van TrustBound GRC is de ideale tool om continu overzicht te houden op alle processen en verwerkingsactiviteiten. Daarmee kun je snel reageren als er een datalek wordt geconstateerd.
Altijd in control met het Dashboard
Het Dashboard heeft bovendien een apart venster ‘Datalekken, incidenten en verzoeken’ waarin je datalekken kunt registeren en de status kunt zien van de genomen maatregelen. Vanuit het Compliance Dashboard kun je heel gemakkelijk rapportages maken van de status van datalekken, zodat je altijd inzicht kunt geven in je beveiligingsbeleid.
DPIA: vooraf de risico’s in kaart
Met een Data Protection Impact Assessment (DPIA) breng je vooraf de risico’s van een gegevensverwerking in kaart, zodat je maatregelen kunt nemen om die risico’s te verkleinen.
Verplichting zelf vaststellen
Als verwerkingsverantwoordelijke moet je zelf vaststellen of je organisatie DPIA-plichtig is. Als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie jouw organisatie de persoonsgegevens of andere privacygevoelige informatie verwerkt, kun je ervan uitgaan dat een DPIA verplicht is.
Meteen passende maatregelen
Belangrijk in een DPIA is dat de voorgenomen gegevensverwerking wordt getoetst aan de grondslag en aan het doel van de gegevensverwerking; er wordt ook getoetst of de bewaartermijn correct is.
De module van TrustBound GRC stelt bij ieder gesignaleerd risico meteen passende maatregelen voor, waar je als DPIA-uitvoerder uit kunt kiezen.
Procesverantwoordelijke betrekken
De risico’s voor de betrokkenen worden meteen op procesniveau geïdentificeerd: in welk proces binnen de organisatie ontstaat het risico? Daarom is de module zeer geschikt voor grote organisaties met een complexe verdeling van taken en verantwoordelijkheden. Want als FG of Privacy Officer wil je de procesverantwoordelijke direct betrekken bij de maatregelen om het risico te mitigeren.
Vertrouwd door meer dan 1000 privacy professionals
Effectief privacymanagement?
Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor AVG en Toezicht.
Onze belofte
Wat mag je van ons verwachten als je kiest voor TrustBound GRC als AVG software?
-
Meetbaar resultaat binnen enkele weken
Ons platform werkt als een vliegwiel. Met pasklare templates heb je in korte tijd de basis op orde. Realtime rapportages geven bovendien snel zicht op de grootste risico’s. -
Samenwerken wordt vanzelfsprekend
TrustBound GRC is gericht op samenwerken. Medewerkers uit verschillende teams en disciplines worden verbonden door de eenduidige structuur en gemeenschappelijke doelen. -
Je staat er niet alleen voor
We staan voor je klaar, tijdens de implementatiefase én daarna. Bovendien wordt het TrustBound GRC Platform gedragen door een netwerk van gespecialiseerde Kennispartners, waardoor altijd hoogwaardige kennis beschikbaar is voor inhoudelijke vraagstukken. -
Verrassend doordacht
Wij maken al 20 jaar software om het werk van professionals effectiever en leuker te maken. Niet met een eindeloze rij knoppen en schermen, maar met doordachte functies die verrasssen door eenvoud en bijdragen aan de verbetering van je aanpak.
Kennismaken
Ben jij geïnteresseerd in persoonsgegevensbescherming en wil je gericht advies over AVG-beleid binnen jouw organisatie?
In een persoonlijk webinar bespreken wij de mogelijkheden. We leggen uit hoe onze AVG-software jouw organisatie kan helpen om alles op orde te brengen wat te maken heeft met gegevensbescherming en de privacy van je klanten en medewerkers.
Persoonlijke rondleiding
Wil je meer weten over TrustBound en een persoonlijk gesprek over wat ons platform voor jouw organisatie kan betekenen?