In 10 stappen klaar voor de AVG
Je kunt nu alvast stappen ondernemen om op 25 mei 2018 helemaal klaar te zijn voor de AVG. Wij hebben de 10 belangrijkste voor je op een rijtje gezet:
1. Breng de verwerking van je privacygegevens volledig in kaart
Hiermee bedoelen we alle persoonsgegevens die je verwerkt als bedrijf én met welk doel je dit doet. Daarnaast moet je ook registreren waar deze gegevens vandaan komen en met wie je ze deelt.
2. Draag zorg voor de privacyrechten van je betrokkenen
De mensen van wie je persoonsgegevens verwerkt, krijgen dankzij de AVG meer en verbeterde privacyrechten. Ze moeten hun gegevens gemakkelijk kunnen inzien, laten corrigeren en op verzoek laten verwijderen of deze kunnen doorgeven aan een andere organisatie.
3. Voer een Privacy Impact Assessment (PIA) uit
Dit is een middel om vooraf privacyrisico’s van gegevensverwerking in kaart te brengen, zodat maatregelen getroffen kunnen worden om risico’s te verkleinen. Je bent als organisatie verplicht een PIA uit te voeren, als jouw beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt.
4. Verwerk Privacy by default & Privacy by design in je bedrijfsvoering
Privacy by design houdt in dat er al bij de ontwikkeling van producten en diensten aandacht moet zijn voor privacy. In het ontwerp moet gewaarborgd worden dat er niet meer persoonsgegevens verwerkt worden dan strikt noodzakelijk voor het doel van verwerking.
Denk hierbij bijvoorbeeld aan het inrichten van een online bestelproces. Het vragen naar het adres zal waarschijnlijk noodzakelijk zijn om een product af te kunnen leveren. Maar een geboortedatum is daarvoor hoogstwaarschijnlijk niet noodzakelijk.
Privacy by default vereist dat de standaardinstellingen altijd zo privacyvriendelijk mogelijk moeten zijn. Denk hierbij bijvoorbeeld aan het vakje ‘Ja, ik wil aanbiedingen ontvangen’ op je website. Deze mag niet vooraf aangevinkt zijn.
5. Controleer de privacyverklaring van je bedrijf
Deze verklaring moet door de nieuwe wetgeving meer gedetailleerde informatie bevatten en in begrijpelijke taal zijn geschreven.
6. Ga na of je bedrijf verplicht is een Functionaris voor de Gegevensverwerking (FG) aan te stellen
Nieuw in de AVG is dat het voor veel bedrijven verplicht wordt om een FG aan te stellen. Ook als je niet verplicht bent tot een FG, kun je als organisatie ervoor kiezen een FG te benoemen. In principe kan elk personeelslid tot FG worden benoemd, mits zij aan een aantal eisen voldoen. Ze moeten bijvoorbeeld ervaring hebben met nationale en Europese privacywetgeving en verstand hebben van IT en beveiliging van gegevens.
7. Documenteer alle datalekken en zorg voor een duidelijke procedure
Op het moment dat er per ongeluk, of opzettelijk, data verloren gaan, of op straat terecht gekomen zijn, moet dit binnen 72 uur aan de toezichthouder worden gemeld.
8. Verwerkersovereenkomst
Nieuw in de AVG is de verwerkersovereenkomst, die voorheen de bewerkersovereenkomst heette. Wanneer je bijvoorbeeld je personeelsadministratie uitbesteedt, dan ben jij de verwerkingsverantwoordelijke en degene aan wie je het uitbesteedt de verwerker. In dat geval ben je verplicht een verwerkersovereenkomst aan te bieden en te zorgen dat alle daarin opgenomen regels worden nageleefd. In deze overeenkomst leg je onder andere vast wat de doeleinden van de gegevensverwerking zijn en waar de persoonsgegevens worden opgeslagen.
9. Bij meerdere vestigingen in meerdere EU-lidstaten en/of gegevensverwerking in meerdere lidstaten, is nog maar één privacytoezichthouder nodig
De hoofdregel onder de AVG is dat de toezichthouder van de lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is.
10. Evalueer de wijze waarop je toestemming vraagt, krijgt en registreert
De nieuwe wet verplicht je aan te tonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken.
Ook moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken.