The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Bent u voorbereid op de Algemene Verordening Gegevensbescherming / General Data Protection Regulation?

EY - EnglishClick here for the English version of this page

Niemand kan er omheen: vanaf 25 mei 2018 is de ‘Algemene Verordening Gegevensbescherming’ (AVG) van kracht, ofwel de ‘General Data Protection Regulation’ (GDPR).

Kun jij aantonen dat je organisatie er klaar voor is? Want alleen zo voorkom je boetes en reputatieschade. Maar de AVG/GDPR is vooral een kans om je databescherming naar the next level te brengen en je klantrelaties te verstevigen.

EY Advisory helpt jouw organisatie AVG/GDPR-proof te maken. Snel, compleet en in de breedte, zodat je méér dan alleen aan de wet voldoet. Actuele vragen gaan tenslotte verder dan compliance. Denk aan:

  • Hoe krijg je gedetailleerd inzicht in de datastromen met de meest risicovolle persoonlijke data?
  • Hoe maak je aanvullende afspraken voor datadoorgifte- en opslag buiten de EU?
  • Hoe plukt je relatiemanagement juist de vruchten van de AVG/GDPR?
  • Welke nieuwe internettechnologieën vormen een bedreiging voor persoonlijke data in jouw organisatie?
  • Hoe kan je organisatie correct en daadkrachtig op incidenten reageren?
  • En hoe integreer je alle nieuwe privacymaatregelen in de bestaande monitoringcyclus?

Waarom EY?

Voor Data Privacy heeft EY Advisory een multidisciplinair specialisme ontwikkeld, waarin wij je volledig op maat helpen bij de implementatie van AVG/GDPR-maatregelen.

Dankzij ons sterke, sectorgerichte global Data Privacy-netwerk schakelen wij altijd de juiste specialisten in, op elk gewenst moment en waar ook ter wereld. Van risicomanagers tot advocaten en van cybersecurityspecialisten tot investigators.

img01

Hoe beklim je de databerg?

Bij een internationale onderneming in de Consumer Products & Retail-sector stelden we eerst het AVG/GDPR-volwassenheidsniveau vast.

Dit deden we op basis van onze elf Data Privacy Building Blocks, een compleet raamwerk voor het privacyprogramma. De assessment was volledig maatwerk, waarna een roadmap volgde om de organisatie compliant te maken.

img02

Hoe weet je of je de juiste dingen doet?

Bij een internationale onderneming in de Health-sector voerden we een onafhankelijke review uit op hun eigen roadmap. Hoe juist en volledig zijn de patiëntendatastromen? En de bijbehorende verwerkingsactiviteiten, systemen en applicaties?

Ook doken we in de opzet en werking van de technische maatregelen, die nodig zijn om de patiëntendata te beschermen en datalekken te detecteren.

Hoe krijg je een AVG-certificering?

EY CertifyPoint verzorgt de afgifte van AVG-certificeringen. Tegenwoordig willen bijna alle technologiebedrijven aan dit soort normen voldoen. Wanneer stap jij in?

De procedure wordt uitgevoerd door bevoegde privacy-auditors, die samenwerken met juridische experts. EY CertifyPoint geeft vervolgens een evaluatierapport: een onafhankelijke certificeringsinstantie.

Hoe wij je kunnen helpen

Een privacybeleid wordt pas succesvol als je de regels ‘van papier’ vertaalt naar uitvoering. Alleen dan is je organisatie compliant.

Ons startpunt is altijd risk-based, waarbij we rekening houden met bestaande IT- en businesscontrols en de cultuur in jouw organisatie. We kunnen je helpen bij een specifiek vraagstuk, zoals een verwerkingsregister opstellen. Maar veel organisaties hebben nu juist behoefte aan (dagelijkse) brede ondersteuning, omdat de AVG/GDPR de hele organisatie raakt.

Wij bieden:

  • Volledig projectmanagement. Ook treden wij op als implementatiepartner voor AVG-software.
  • Introductietrainingen (ook online) over de nieuwe wetgeving tot specifieke workshops voor functies die de meeste persoonlijke data verwerken.
  • Juridische ondersteuning, zoals verwerkersovereenkomsten en EU Model Clauses opstellen of Binding Corporate Rules implementeren.
  • Technische ondersteuning, waarmee je de security-eisen in de organisatie waarborgt.
  • Nieuwe technologieën, waarmee je persoonlijke data gemakkelijk ontdekt in (on)gestructureerde data.

Compleet overzicht met onze 11 bouwstenen

X

Om jouw organisatie zo volledig mogelijk en op maat te ondersteunen, introduceren we elf Data Privacy Building Blocks. Elke bouwsteen is gebaseerd op specifieke vereisten uit de AVG/GDPR. Samen bieden ze hét complete raamwerk om je privacyprogramma te ontwikkelen, structureren en beheren.

 

Governance: vision and strategy, roles and responsibilities

Een duidelijke, gezamenlijke privacystrategie geeft je organisatie richting en biedt toezicht op alle beheersactiviteiten.

Heldere rollen en verantwoordelijkheden zorgen ervoor dat de strategie actief wordt uitgevoerd, maar ook dat er voldoende, adequaat voorbereide medewerkers zijn. Daarnaast helpt een passende beleidsstructuur om de juiste cultuur te creëren, waarin de privacyvereisten worden nageleefd. Dit toont ook externe partijen (klanten, zakelijke partners en toezichthouders) dat er betrokkenheid en capaciteit is om te voldoen aan de AVG-vereisten. En dit geeft vertrouwen.

Policies and procedures

Je organisatie moet beleid en procedures opstellen, die aan alle nieuwe vereisten voor gegevensbescherming voldoen.

De documenten vereisen de juiste goedkeuring (bijvoorbeeld van het managementteam) om de strategische uitvoering te ondersteunen. Bovendien moeten het beleid en de procedures de overige tien bouwstenen omvatten en rekening houden met de beleidsstructuur. Ook horen de procedures de uitoefening van de rechten van betrokkenen te waarborgen.

Personal Data Life Cycle Management

Het beheer hangt af van de manier waarop je organisatie de persoonsgegevens tijdens de hele levenscyclus verwerkt: met welk doel, op basis van welke juridische grondslag, met welke partijen, voor hoe lang en met welke bescherming?

Begrip over het verzamelen, opslaan, gebruiken, delen en verwijderen van persoonsgegevens is fundamenteel. Niet alleen voor de bescherming, maar ook voor het effectief waarborgen en aantonen van de naleving.

Communications

Er moet een intern en extern communicatieplan komen, zodat de communicatie over de privacy-initiatieven altijd effectief en consistent is.

Dit communicatieplan omvat de communicatie met interne en externe belanghebbenden, inclusief de autoriteiten voor gegevensbescherming.

Compliance Monitoring

De naleving van wetten, vereisten en het privacybeleid vraagt om nieuwe mechanismen

Denk aan rapportagevereisten, monitoring en supervisie, inclusief interne (en externe) audits. Deze beheersmaatregelen kun je ook gebruiken om de effectiviteit van het privacybeleid aan te tonen, en in welke mate de organisatie voldoet aan AVG-vereisten.

Training and Awareness

Privacyrisico's moeten binnen de hele organisatie bekend zijn.

Om ervoor te zorgen dat het beleid en de procedures worden nageleefd, moeten er zowel algemene trainingen als functiespecifieke trainingen worden gegeven.

Individual’s Rights

Je organisatie moet voldoen aan de rechten van die mensen van wie zij persoonlijke data verwerken (de betrokkenen). Denk aan: het recht op inzage in de verwerkte persoonlijke data, op rectificatie en aanvulling. Maar ook om bezwaar te maken tegen een verwerking.

Om als organisatie te voldoen aan de AVG-rechten voor alle betrokkenen, moet je een strategie met bijbehorende procedures definiëren.

Data Breach Management

Datalekken leiden tot reputatie-, compliance- en financiële risico's, die je graag wilt managen.

Je organisatie moet maatregelen treffen om het risico op een datalek te voorkomen en te identificeren. En hoe reageer je op een datalek? Is er bijvoorbeeld een verplichting om autoriteiten en individuen op de hoogte te stellen? Ook hiervoor moeten procedures komen.

Data Privacy Risk Management

De privacymaatregelen zijn afhankelijk van de risico’s van de gegevensverwerking. Waar focust je organisatie zich op?

Deze risico's kunnen verband houden met een individu, de organisatie of derden. Gegevensbeschermingseffect-beoordelingen raden wij dan ook aan. Soms zijn ze zelfs vereist om de risico's van de activiteiten te begrijpen en passende maatregelen te nemen.

Security for Privacy

Je organisatie moet technische en organisatorische beveiligingsmaatregelen implementeren, controleren en bijwerken om de bescherming van persoonsgegevens te garanderen. Doe dit op basis van security risico assessments en houd rekening met ongeautoriseerde toegang én inzage, verandering, verlies of vernietiging van persoonlijke data.

Zorg dat het beleid voor informatiebeveiliging is afgestemd op de vereisten vanuit de AVG en definieer specifieke security controls voor persoonlijke data. Denk aan het anonimiseren en minimaliseren van de persoonsgegevens.

Data Transfer Management

Wist je dat je organisatie ook verantwoordelijk is voor de verwerking van persoonsgegevens door derden? En dat je ook interne afspraken moet maken voor intercompany-gegevensoverdrachten vanuit de Europese Economische Ruimte (EER) naar buiten?

Om deze risico's te managen, moeten derden passende waarborgen voor privacy implementeren en dienen de verwerkersovereenkomsten de privacyvereisten te adresseren. Zorg ook dat je organisatie dit soort partijen adequaat monitort.

Contact

EY - Tony de Bos

Tony de Bos
Data Privacy Financial Services
+31 (0)6 2908 4182

EY - Birgit Stein

Birgit Stein
Data Privacy Other Sectors
+31 (0)6 2908 4001