Uw organisatie heeft tijd en geld geïnvesteerd in het voldoen aan de Algemene verordening gegevensbescherming (AVG). Net als veel andere organisaties, die dat vaak projectmatig en onder tijdsdruk deden. Nu is het tijd voor reflectie. Was het ook echt voldoende? Of creëerde u een papieren tijger, en bent u in de praktijk niet echt compliant? Wij helpen u hier met een snelle check. Wilt u het grondiger? Ook dan staan we voor u klaar.  

We hebben onder aan deze pagina een eenvoudige checklist voor u, gebaseerd op de 10-stappen lijst van de Autoriteit Persoonsgegevens (AP). Doorloop deze checklist niet alleen vanachter uw bureau, maar toets uw antwoorden ook aan de realiteit in uw organisatie. Als het erop aankomt, neemt de AP geen genoegen met een papieren tijger. De compliance check kunt u zo intensief doen als u wilt, de essentie is dat u vertrouwen heeft in de uitkomsten. 

De check en de uitkomsten bieden u een mooie kans om de organisatie weer te betrekken bij privacy. U laat nogmaals het belang zien én toont de organisatie waar nog zwakke plekken zitten. Neem interne communicatie daarom mee in uw aanpak. Een vanzelfsprekende valkuil bij deze checklist is dat het – door bijvoorbeeld gebrek aan capaciteit – nog te oppervlakkig blijft. Een andere valkuil is dat u met de check vooral kijkt naar het hier en nu. Maar hoe toekomstbestendig is uw privacybeleid? Heeft u twijfels? Vraag ons dan om advies.

Natuurlijk is het belangrijk om aan wet- en regelgeving te voldoen. Toch gaat het bij privacy om veel meer dan dat. De manier waarop u ermee omgaat is van essentieel belang voor het vertrouwen dat uw klanten en de maatschappij in uw organisatie hebben. De nadruk hierbij ligt vaak op het reputatierisico. Maar u kunt uw privacy-aanpak ook actief inzetten voor uw reputatie en zo een kans creëren. Organisaties die verder kijken dan alleen de basiscompliance, werken aan hun privacyvolwassenheid. Wat doet u?

KPMG begeleidt u graag bij de uitvoering van een check op uw compliance. Onze Data Privacy-specialisten doen dat met tools die zich in de praktijk bewezen hebben. Met een meting van uw privacyvolwassenheid detecteren wij uw verbeterpunten. Daarbij weten onze specialisten heel goed de verbinding te maken tussen de theoretische vereisten en uw dagelijkse realiteit. 

De bescherming van persoonsgegevens is vaak geen kernactiviteit binnen een organisatie. Maar het verantwoord en compliant omgaan met persoonsgegevens is wel essentieel om het vertrouwen van klanten, personeel en andere stakeholders te behouden. KPMG biedt u een multidisciplinair Cyber Security & Data Privacy team. Een kernteam met kennis en ervaring van gegevensbescherming, privacy en risicomanagement. Onze experts werken intensief samen met de organisatie, zodat het privacyprogramma goed aansluit bij de cultuur, de werkwijze en de waarden van uw organisatie. Met als resultaat dat security en privacy ‘on top of mind’ komen en blijven  bij de gehele organisatie.

• Uw medewerkers zijn op de hoogte van de privacyregels. Zij weten wat van hen wordt verwacht en zijn zich bewust van de risico’s. Lees hier (link naar artikel privacybewustzijn) meer hoe u het privacybewustzijn bij uw medewerkers verhoogt.
  
• Waar nodig wordt aantoonbaar toestemming gevraagd voor verwerking van persoonsgegevens. Deze toestemming kan door betrokkenen ook eenvoudig ingetrokken worden.
  
• De gegevensverwerkingen zijn in kaart gebracht. U houdt als onderdeel van uw verantwoordingsplicht een register van verwerkingsactiviteiten bij met de persoonsgegevens die u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.
  
• Alle datalekken binnen uw organisatie worden gedocumenteerd en zo nodig gemeld bij de AP.
  
• Betrokkenen kunnen hun privacyrechten makkelijk uitoefenen, zoals recht op inzage, op correctie en verwijdering en op dataportabiliteit.
  
• Met externe partijen die voor u persoonsgegevens verwerken, is vastgelegd dat zij werken conform de eisen van de AVG en adequate technische en operationele maatregelen hebben geïmplementeerd ter bescherming van de gegevens.
  
• U zorgt al bij het ontwerpen van producten en diensten dat persoonsgegevens goed worden beschermd (Privacy by Design) en verwerkt als standaard alléén noodzakelijke gegevens (Privacy by Default).
• U brengt met een data protection impact assessment (DPIA) zo nodig vooraf de privacyrisico’s van een gegevensverwerking in kaart, om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Niet vermijdbare risico’s overlegt u met de AP.
• Er is vastgesteld of de organisatie een functionaris voor de gegevensverwerking (FG) moet hebben. Deze is zo nodig aangesteld of u heeft een interim FG.
  
• U heeft een leidende toezichthouder gekozen indien uw organisatie vestigingen heeft in meerdere EU-lidstaten of in het geval uw gegevensverwerkingen in meerdere lidstaten impact hebben.