AVG Organisatieanalyse

In ons artikel van twee weken geleden is uiteengezet welke drie stappen een organisatiespecifieke AVG‑compliance methode bevat.

De eerste van deze stappen: de organisatieanalyse.

Om uw gebruik van persoonsgegevens volgens de wensen van de AVG te verantwoorden, is het noodzakelijk alle handelingen met persoonsgegevens volledig in kaart te brengen. Verantwoorden betekent: beschrijven van de wat, wie, hoe & waarom van de verwerkingen en aantonen hoe de verwerkingen aan de AVG-beginselen & vereisten voldoen. Dit vereist een organisatieanalyse met als basis de eisen van de AVG.

De eerste stap van een organisatieanalyse is in kaart brengen welke handelingen/processen met persoonsgegevens plaatsvinden. Deze handelingen groepeert u op basis van doelstellingen in verwerkingen. Bijvoorbeeld: alle persoonsgegevens die u bewaart over werknemers, zoals in personeelsdossier of in de boekhouding, onder de verwerking ‘Werkgeverstaken & -verplichtingen’ groeperen.

Bovengenoemde verwerkingen dient u vervolgens, op grond van artikel 30 AVG, op te nemen in een register van verwerkingsactiviteit. Eisen aan dit register zijn o.a. de opname van de categorieën van persoonsgegevens, de ontvangers en de bewaartermijnen. Indien u deze eisen volledig en grondig behandelt, heeft u een deel van de AVG-beginselen verantwoord.

Meer is echter noodzakelijk. Ten eerste is het verstandig om o.a. de bewaarwijze van de gegevens vast te leggen, de grondslagen toe te lichten en de normen die een DPIA verplichten door te nemen. Ten tweede is het verstandig om een risicoanalyse uit te voeren. Daardoor ontstaat een volledig beeld van de verwerkingen binnen de organisatie en van organisatiespecifieke risico’s. De organisatieanalyse vormt zo de basis van functionele privacy protocollen binnen uw organisatie.

Het maken van deze protocollen is de volgende stap van onze AVG‑compliance methode, dit behandelen wij volgende week.