1 maart 2018

AVG nieuws

Blog: in 10 stappen voorbereiden op de AVG

We krijgen er binnenkort allemaal mee te maken, de Algemene verordening gegevensbescherming (AVG). De AVG is al van kracht maar vanaf 25 mei 2018 wordt deze streng gecontroleerd en heb je als bedrijf de verantwoordelijkheid aan te tonen dat je je aan de wet houdt. Ben jij er al mee bezig en al klaar voor? Onderstaand 10 stappen die je nu vast kunt ondernemen om je voor te bereiden.

1. Bewustwording:

Begin met een stukje bewustwording binnen jouw organisatie over de nieuwe privacyregels. Bespreek met relevante mensen (beleidsmakers) wat de mogelijke impact van de AVG is voor jullie organisatie.

2. Rechten van betrokkenen:

Met de AVG is het belangrijk dat betrokkenen (de mensen van wie je persoonsgegevens verwerkt) hun privacyrechten goed kunnen uitoefenen. Zorg dat de betrokkenen hun gegevens makkelijk kunnen opvragen en eventueel doorgeven aan een andere organisatie. Dit is onder andere het recht op inzage, correctie, verwijdering en dataportabiliteit.

3. Overzicht verwerkingen:

Hoe gaan jullie nu om met data van jullie klanten? Waar komen de gegevens vandaan en met wie deel je ze? Een mooi begin is om het visueel te maken om zo een goed overzicht te krijgen. Vrijwel alle organisaties zijn verplicht om dit vast te leggen in een verwerkingsregister. Hierin staat welke persoonsgegevens er nu verwerkt worden, met welk doel en wie er toegang tot deze gegevens hebben. Dit register kun je weer nodig hebben als betrokkenen verzoeken hebben m.b.t. hun privacyrechten.

4. Beoordeling impact met DPIA

Heb je te maken met gegevens die een hoog privacyrisico hebben? Zoals bijzondere persoonsgegevens (o.a. ras, godsdienst), profilering of grootschalige gegevensverwerkingen. Dan is een ‘data protection impact assessment’ oftewel DPIA nodig. Hiermee breng je de risico’s in kaart en kun je maatregelen nemen om de risico’s te beperken.

5. Inrichten systemen

Het is nu al vast goed om bij het inrichten van jouw systemen of het ontwerpen van nieuwe producten, technisch na te gaan of persoonsgegevens beschermd worden. In de AVG wordt gesproken over ‘Privacy by design’ om te voorkomen dat onnodige gegevens gevraagd worden. Het is bijvoorbeeld niet nodig om een woonplaats te weten van iemand die jouw nieuwsbrief ontvangt. ‘Privacy by default’ houdt in dat de persoon zelf toestemming moet geven voor het geven van persoonsgegevens en dat dit niet automatisch/ standaard ingeregeld mag worden.

6. Toezicht

Om toezicht te houden op de naleving van de AVG is het voor grootschalige gegevensverwerkers verplicht een functionaris gegevensbescherming (FG) aan te stellen. Ga na of dat voor jouw organisatie van toepassing is of dat je zelf vrijwillig een FG wilt aanstellen. Deze functie kun je intern vervullen of door een extern partij.

7. Datalekken documenteren en melden

Vanuit de Wet bescherming persoonsgegevens was je al bekend met het melden van datalekken. De AVG is alleen wat strenger geworden en verplicht je deze nu ook te documenteren. Beschrijf het datalek, de gevolgen en de genomen maatregelen.

8. Verwerkersovereenkomst afsluiten

Een verwerkersovereenkomst sluit je af met een ander bedrijf die voor jou persoonsgegevens verwerkt. Onder verwerken valt al het inzien van gegevens en betekend niet dat de ander ook daadwerkelijk wijzigingen aanbrengt. Wellicht heb je al een overeenkomst, check dan of deze toereikend is voor de AVG.

9. Leidende toezichthouder bepalen:

Is jouw organisatie in meerdere EU-landen actief? Dan heb je slechts met één privacy toezichthouder (bijvoorbeeld de Autoriteit Persoonsgegevens) te maken, de leidende toezichthouder.

10. Toestemming:

Vraag je nu toestemming voor het verwerken van persoonsgegevens? Hoe krijg je dit en hoe wordt dit bijgehouden? Misschien is het nodig om dit aan te passen. In ieder geval moet je kunnen aantonen dat er geldige toestemming is verkregen.  Het intrekken van de toestemming moet voor mensen ook net zo makkelijk zijn.

Wij hopen dat deze stappen je een beetje op weg helpen om aan de AVG te voldoen. Meer informatie kun je verkrijgen bij de Autoriteit Persoonsgegevens.

Bron: 
Meer weten? Wij vertellen u graag meer!