GDPR TOOLKIT Audit en stappenplan

Breid de inventaris uit met een audit zodat je zicht krijgt op de noodzakelijke  maatregelen die je moet nemen om in regel te zijn.
Op basis van de inventaris bekijk je of je per  gegevenscategorie:

  • je een legitieme doelstelling hebt om deze te verwerken
  •  de verwerkingsactiviteiten in verhouding zijn tot die doelstelling (dus niet te        verregaand zijn)
  •  je voldoende transparant bent over de verwerkingsactiviteiten
  • je de rechten van de betrokkenen voldoende faciliteert

Zet na deze screening de verwerking  van persoonsgegevens stop die niet noodzakelijk zijn voor de verwerkingsdoelstelling.

Breng voor de persoonsgegevens die je blijft verwerken, de risico’s in kaart op verlies,
diefstal of ongeoorloofde toegang en de mogelijke gevolgen die elk daarvan zou kunnen hebben voor de betrokken personen. Bekijk welke verbeterstappen je kan / moet
zetten en lijst op wie welke maatregelen gaat nemen binnen welke timing.
Op basis van de resultaten zijn er waarschijnlijk aanpassingen nodig in lopende contracten, privacy policies of -verklaringen, arbeidsreglementen, interne organisatiepolicies, verzekeringspolissen, inschrijvingsformulieren, enz..
Misschien zijn er ook nieuwe afspraken of structurele technische of organisatorische
aanpassingen nodig binnen je team (toegang tot data beperken, veiligheidsprocedures
invoeren, policies voor gebruik van eigen pc of laptop, …).

Verdeel de maatregelen onder in:

  • een organisatorisch deel
  •  een technisch deel
  • (eventueel) juridisch deel.

Streef ernaar om de geregistreerde gegevens transparant te beheren, beperk je daarbij  tot de gegevens die noodzakelijk zijn voor de verwerkingsdoelstelling en hou ze niet langer bij dan nodig.

Koppel de audit aan een stappenplan over de aanpassingen die je zal doorvoeren.

Je kan de audit door een expert laten uitvoeren, je regionale PerfICTion expert kan je hier zeker in bijstaan, maar je kan gerust ook zelf een intern onderzoek doen en stappen uitwerken om je organisatie in regel te brengen.

Onderstaande templates kunnen dienen als leidraad:

20170810_risicoregister_bevindingenregister 20170810_gegevensbeschermingsbeleid_template

%d bloggers liken dit: