Het voldoen aan de AVG is verplicht, dit geldt voor alle partijen/organisaties die werken binnen de Europese Unie. En alle partijen moeten passende technische en organisatorische maatregelen nemen.
De eerste vraag is, welke gegevens worden verwerkt? Is dit (privacy)gevoelige informatie? Dit komt bijna in alle organisaties voor, van persoonlijke informatie, gezondheidsinformatie, financiële tot concurrentie gevoelige informatie. Maar denk ook vertrouwelijke communicatie tussen advocaat en client, financiële gegevens, loonstrookjes en salarisinformatie, ziekmeldingen, schooldossiers, kopietjes identiteitsbewijzen en verzekeringen.
De tweede vraag is, wat is de risicoanalyse? Hoeveel gegevens zijn aanwezig/worden verwerkt, welke maatregelen zijn al genomen, wordt er informatie verstuurd en ontvangen via email, hoe professioneel wordt er omgegaan door alle medewerkers met informatie en heeft de organisatie hier ook daadwerkelijk grip op. Het zal met name een afweging tussen deze twee zijn wat passende maatregelen zijn.
In het algemeen zal niks doen nooit een optie zijn om te werken conform de AVG.
Zodra er privacy gevoelige informatie gemaild wordt, zal de NTA 7516 vaak van toepassing zijn.