De Raad van Toezicht en de AVG

Invoering AVG en de RvT

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing op alle organisaties.

Vanaf deze dag geldt in heel Europa dezelfde privacywetgeving. De Wet bescherming persoonsgegevens (Wbp) geldt vanaf dat moment niet meer.

De vraag die de Raad van Toezicht zich moet stellen is: “Wat betekent dit voor onze organisatie? Voldoen wij op tijd aan de eisen die gesteld worden in de Verordening en hoe blijven wij als RvT op de hoogte van maatregelen die onze organisatie neemt?”

Iedere organisatie heeft 2 jaar de tijd gehad zich voor te bereiden op deze nieuwe wetgeving. Op 4 mei 2016 is de AVG gepubliceerd. Na deze datum is de organisatie als het goed is aan de slag gegaan met de voorbereidingen. Heeft de bestuurder de RvT meegenomen in de genomen maatregelen? Heeft er bijvoorbeeld een nulmeting plaats gevonden waar de organisatie staat en welke maatregelen genomen moeten worden?

De Autoriteit Persoonsgegevens heeft ter voorbereiding ‘Het AVG-10 stappenplan’, in 10 stappen voorbereid op de avg, opgesteld en bespreekt hierin de 10 belangrijkste AVG-thema’s.

Maar, wat is de rol van de RvT bij de invoering van de AVG?

Wij zoomen in op de volgende items voor de Raad van Toezicht:

Bewustwording

Zijn wij ons als RvT voldoende bewust van de consequenties van de invoering van de AVG? Is het onderwerp met enige regelmaat geagendeerd in het overleg van de RvT met de directeur-bestuurder? Is het bestuur zich voldoende bewust welke processen van de organisatie de AVG raakt, wie hierbij betrokken zijn? Denk hierbij aan de medewerkers, de leveranciers en ook de partners.

Sparringpartner

Voor bestuurders van organisaties is de wetgeving nieuw. Adviseurs bieden zich aan om de bestuurder te helpen. Ook brancheorganisaties faciliteren ondersteuning zodat kennis en kosten kunnen worden gedeeld. De leden van de RvT kunnen op dit gebied heel goed vanuit de eigen organisatie, het netwerk en hun achtergrond als sparringpartner input leveren aan de bestuurder.

Organiseer een brainstormsessie en ga na welke persoonsgegevens de organisatie vastlegt. Wanneer en waarvoor deze gegevens worden gebruikt? (Mogen we die nieuwsbrief blijven versturen?) En hoe kunnen wij ervoor zorgen dat onze leveranciers en partners ook op tijd aan de AVG voldoen?

Meldplicht bij datalekken

Is er een procedure opgesteld wanneer er een datalek optreedt? Hoe wordt gehandeld binnen de organisatie? En wanneer wordt de Raad van Toezicht hierin gekend? Een datalek kan groot, maar ook ‘klein’ zijn. Als een brief op een verkeerd adres wordt bezorgd en geopend wordt geretourneerd is er al sprake van een datalek.

Tip: Houd een incidentenregister bij. Agendeer het register periodiek bij de vergaderstukken van het overleg met de RvT. Is er sprake van een groot incident? In dat geval informeert de bestuurder de RvT direct.

Monitoring

De RvT stelt zich ook op als toezichthouder in dit traject. De bestuurder legt tijdig een nulmeting aan de RvT voor, geeft inzicht in de te nemen maatregelen en houdt de RvT op de hoogte van de genomen maatregelen.

Ter geruststelling

Wat wordt er nu daadwerkelijk verwacht van organisaties per 25 mei 2018?

Moet u klaar zijn?

Het is belangrijk te laten zien dat ook uw organisatie zich bewust is van de impact van de AGV, weet welke persoonsgegevens worden vastgelegd en op de hoogte is van de gegevens die worden gebruikt. Heel belangrijk: stel eisen aan leveranciers en ketenpartners en leg deze vast in de dienst- en/of samenwerkingsovereenkomst.

Bestaat er behoefte om eens van gedachten te wisselen over de AVG binnen uw Raad van Toezicht? Neem contact op met Cirkeltoezicht!
M: info@cirkeltoezicht.nl

Written By

De Financiële vrouw van de Culturele Sector Specialist in Control en Kwaliteit, en met een passie voor Besturen.

2 Comments on “De Raad van Toezicht en de AVG

  1. M. Knoll Beantwoorden

    april 11, 2018 at 9:11

    Duidelijk artikel! Ik ga t vanavond bespreken in onze RvT met bestuurder.

    • Astrid van der Starre Beantwoorden

      april 11, 2018 at 11:53

      Dank je wel!
      Wil je voor ons het artikel in de social media delen?
      Zo komt het bij meerdere bestuurders en toezichthouders onder de aandacht.
      Veel succes, vanavond! Astrid van der Starre

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.