10 stappen om je voor te bereiden op de AVG
Op 25 mei 2018 wordt de wet AVG van kracht, ook wel bekend als de GDPR. Dit is een nieuwe Europese wet voor databescherming. Het is belangrijk dat je je op tijd voorbereidt. Dan vraag je je waarschijnlijk af 'Wat moet ik dan doen?'. interparts legt het je stap voor stap uit.
Stap 1: Betrek je medewerkers bij de uitvoering van de AVG
Zorg ervoor dat de relevante mensen in jouw organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op jouw huidige processen en diensten en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel tijd en energie kan vragen naast de bestaande werkzaamheden. Begin er daarom op tijd mee!
Stap 2: Zorg dat betrokkenen kunnen doen waar ze recht op hebben
Door de AVG krijgen mensen van wie jij persoonsgegevens verwerkt meer en verbeterde privacy rechten. Zorg er daarom voor dat zij hun privacy rechten makkelijk kunnen uitvoeren.
Denk bijvoorbeeld aan het recht op inzage, het recht op correctie en het recht op verwijdering van gegevens. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat mensen hun gegevens makkelijk kunnen opvragen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Stap 3: Breng de persoonsgegevens van je bedrijf in kaart
Documenteer welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.
Je hebt onder de AVG een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat jouw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van deze plicht.
Stap 4: Voer een Data Protection Impact Assessment uit bij verhoogd risico
Onder de AVG kun je verplicht zijn een zogeheten Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacy risico's van een gegevensverwerking in kaart te brengen. Vervolgens moet je stappen nemen om de risico's te verkleinen.
Je moet een DPIA uitvoeren als jouw gegevensverwerking waarschijnlijk een verhoogd privacy risico met zich meebrengt. Je kunt nu alvast inschatten of je straks DPIA's moet uitvoeren en hoe je dit dan gaat aanpakken.
Stap 5: Maak je organisatie vertrouwd met Privacy by design & Privacy by default
In de AVG staan een aantal verplichte uitgangspunten, zoals de "privacy by design" en "privacy by default".
Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet méér gegevens verzameld dan noodzakelijk en dat je die gegevens niet langer bewaart dan nodig is.
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. Bijvoorbeeld door een app niet de locatie van gebruikers te laten registeren als dat niet nodig is of door op jouw website het vakje "Ja, ik wil aanbiedingen ontvangen" niet vooraf aan te vinken.
Maak je organisatie vertrouwd met deze uitgangspunten en ga nu alvast na hoe je die binnen jouw organisatie kunt invoeren.
Stap 6: Bepaal of je een functionaris voor de gegevensbescherming moet aanstellen
Sommige organisaties worden door de AVG verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal nu alvast of dit voor jouw organisatie geldt. Zo ja, wacht dan niet te lang met het werven of aanstellen van een FG.
Stap 7: Toch een aanval of inbreuk op de persoonsgegevens? Meld dit direct!
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van datalekken binnen jouw eigen organisatie. Je moet àlle datalekken documenteren. Met deze documentatie moet gecontroleerd kunnen worden of je aan de meldplicht hebt voldaan.
Stap 8: Besteed je verwerking van gegevens uit?
Een bewerker is een persoon of organisatie aan wie je gegevensverwerking hebt uitbesteed. Bijvoorbeeld een administratiekantoor. Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens, maar heeft wel een aantal afgeleide verplichtingen. Zoals beveiliging en geheimhouding van de gegevens. Heb je jouw gegevensverwerking uitbesteed? Beoordeel dan of de maatregelen in bestaande contracten voldoen aan de eisen van de AVG. Zo niet, breng dan op tijd de nodige wijzigingen aan.
Stap 9: Leidende toezichthouder
Heeft jouw organisatie vestigingen in meerdere EU-lidstaten? Of heeft de verwerking van jouw data impact in meerdere lidstaten? Dan hoef je onder de AVG nog maar met één privacy toezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacy toezichthouder jij valt.
Stap 10: Zorg dat je toestemming hebt van betrokken personen
Voor het verwerken van sommige gegevens heb je toestemming nodig van de betrokkenen. De AVG stelt strenge eisen aan deze toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Pas deze procedure aan als dat nodig is.
Nieuw is dat je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. En dat het voor hen net zo makkelijk moet zijn om hun toestemming weer in te trekken. Hoe je dat doet, lees je hier.
Blijf up-to-date
Deze informatie is afkomstig van De Autoriteit Persoonsgegevens (AP). Helaas kunnen nog niet alle vragen over de nieuwe Europese wetgeving op dit moment al beantwoord worden. We vinden het wel belangrijk om jou goed voor te lichten. De informatie op onze website houden we zo veel mogelijk up-to-date.