In 10 stappen AVG-proof

De Algemene Verordening Gegevensbescherming (hierna: AVG) is ondertussen alweer bijna drie jaar van toepassing. Een mooie tijd om weer even de balans op te maken. Erachter gekomen dat er toch nog wel wat te doen valt? Met onderstaande stappen kun je aardig op weg komen

 

1.    Gegevens in kaart brengen

Bijna elke organisatie verwerkt persoonsgegevens. Ga na welke persoonsgegevens jouw organisatie verwerkt. Het is belangrijk om te weten welke gegevens je verwerkt omdat dit gevolgen heeft voor de manier waarop die gegevens beschermt moeten worden.

Ga bijvoorbeeld na of je bijzondere persoonsgegevens verwerkt. Dit is in de meeste gevallen namelijk verboden.

2.    Grondslag bepalen

Voor het verwerken van persoonsgegevens heb je een grondslag nodig. Er zijn 6 grondslagen voor het verwerken van persoonsgegevens:

1. Toestemming
2. Noodzakelijk voor het uitvoeren van een overeenkomst
3. Wettelijke verplichting
4. Beschermen van vitale belangen
5. Uitoefenen taak van algemeen belang of openbaar gezag
6. Gerechtvaardigd belang

Je dient zelf de grondslag te bepalen voor de verwerking. Let wel op dat als het doel van de verwerking voorbij is, je de verwerking niet meer mag baseren op die grondslag. Bijvoorbeeld de verwerking is niet langer noodzakelijk voor het uitvoeren van een overeenkomst.

3.    Verwerkingsregister

Vaak zijn organisaties verplicht om een verwerkingsregister bij te houden. In het verwerkingsregister neem je de volgende gegevens op:

• Contactgegevens van de organisatie, de Functionaris Gegevensbescherming (hierna: FG) en eventueel andere organisaties waar persoonsgegevens gedeeld mee worden;
• De doeleinden waarvoor de persoonsgegevens verwerkt worden;
• De betrokkenen;
• De Persoonsgegevens;
• De bewaartermijnen;
• De ontvangers;
• De beveiliging (technische en organisatorische maatregelen).

Ook als je buiten de EU gegevens deelt met partijen moet dit terug te vinden zijn in het verwerkingsregister.

LET OP: Ben je een verwerker dan ziet het verwerkingsregister er anders uit.

4.    Rechten van betrokkenen

Onder de AVG hebben betrokkenen verschillende rechten. Zorg ervoor dat betrokkenen deze rechten kunnen uitoefenen en de organisatie hiervoor een proces heeft ingericht. Zorg er daarnaast voor dat de betrokkenen ook weten welke rechten zij hebben.

5.    Data Protection Impact Assessment

Verschillende organisaties zijn verplicht om een Data Protection Impact Assessment (hierna: DPIA) uit te voeren. Ga na of je verplicht bent om een DPIA uit te voeren.

Niet verplicht? Toch is het handig om een DPIA uit te voeren om in kaart te brengen waar de privacyrisico’s zitten.

6.    Privacy by design en Privacy by default

Privacy by design en Privacy by default houdt in dat er bij het ontwerpen van producten en diensten al wordt gezorgd voor een goede bescherming van persoonsgegevens (design) en dat de standaardinstellingen van je product of dienst privacyvriendelijk zijn (default).

Denk bijvoorbeeld aan het niet standaard invullen van een vakje op de website met ‘ja’.

7.    Functionaris Gegevensbescherming

Sommige organisaties zijn verplicht een FG aan te stellen. Een FG is iemand binnen de organisatie die toezicht houdt op de toepassing en naleving van de AVG.

Niet verplicht om een FG aan te stellen? Ga na of het toch handig is om iemand verantwoordelijk hiervoor te stellen.

8.    Meldplicht bij datalekken

De meldplicht datalekken is onder de AVG strenger geworden. Zo dien je alle datalekken intern te noteren. Of je een datalek moet melden aan de Autoriteit Persoonsgegevens (hierna: AP) is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van de betrokkenen.

Zorg er dus ook voor dat het proces hier goed voor is ingericht en dat medewerkers weten wat zij moeten doen als zij een datalek ontdekken of het vermoeden hebben van een datalek.

9.    Verwerkersovereenkomst

Maak je gebruik van verwerkers? Bijvoorbeeld voor je salarisadministratie. Zorg er dan voor dat je verwerkersovereenkomsten sluit met deze partijen. Hierin maak je afspraken over de verwerking van de persoonsgegevens. Als verwerkingsverantwoordelijke blijf je altijd verantwoordelijk voor de persoonsgegevens die je verwerkt ook als je de verwerking uitbesteed aan verwerkers.

10.  Awareness

Misschien wel het allerbelangrijkst om ervoor te zorgen dat de AVG nageleefd wordt en dat medewerkers weten wat de AVG inhoudt is awareness. Mensen vormen ten slotte het grootste privacyrisico.
Houd bijvoorbeeld 1 of 2 keer per jaar een awareness-sessie.

Hulp nodig bij een van bovenstaande punten? Bel naar 088 133 7800 of neem contact op via het contactformulier op onze website.