0252-419169
Benieuwd hoe jouw organisatie ervoor staat?Vraag een fullscan intake aan
Aanvragen

interparts - beveiliging netwerk en servers

AVG checklist

Voldoet jouw onderneming al aan de eisen van de AVG?

Sinds 25 mei 2018 is de wet AVG van kracht, ook wel bekend als de GDPR. Dit is een Europese wet voor databescherming waar iedere onderneming aan moet voldoen. Wat die wet precies inhoudt, lees je op de pagina Alles over de AVG. Maar dan volgt de vraag 'Wat moet ik dan doen?'. interparts legt het je stap voor stap uit.

Stap 1: Breng de persoonsgegevens van je bedrijf in kaart

Documenteer welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.

Je hebt onder de AVG een verantwoordingsplicht, je moet dus kunnen aantonen dat je in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van deze plicht.

Stap 2: Zorg dat betrokkenen kunnen doen waar ze recht op hebben

Door de AVG krijgen mensen van wie jij persoonsgegevens verwerkt meer rechten. Zorg er daarom voor dat zij hun privacy rechten makkelijk kunnen uitvoeren.

Denk bijvoorbeeld aan het recht op inzage, het recht op correctie en het recht op verwijdering van gegevens. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat mensen hun gegevens makkelijk kunnen opvragen en kunnen doorgeven aan een andere organisatie als ze dat willen.

Stap 3: Betrek je medewerkers bij de uitvoering van de AVG

Zorg ervoor dat de relevante mensen in jouw organisatie op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG veel tijd kan kosten en dat het een continue proces is. Het is geen eenmalig klusje dat iemand er ‘even’ bij kan doen!

Stap 4: Voer eventueel een Data Protection Impact Assessment uit

Denk je dat jouw gegevensverwerking een verhoogd risico met zich meebrengt? Dan ben je verplicht een zogeheten Data Protection Impact Assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de risico’s van bepaalde gegevensverwerkingen in kaart te brengen. Vervolgens moet je natuurlijk stappen nemen om die risico’s te verkleinen.

Stap 5: Maak je organisatie voor de toekomst AVG proof

In de AVG staat een aantal verplichte uitgangspunten, zoals ‘privacy by design’, ‘privacy by default’ en data minimalisatie.

Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je – standaard - alléén gegevens verwerkt die strikt noodzakelijk zijn. In het verlengde daarvan ligt de data minimalisatie: je mag alleen nog gegevens verzamelen die noodzakelijk zijn voor het doel dat je nastreeft.

Bijvoorbeeld door een app niet de locatie van gebruikers te laten registeren als dat niet nodig is of door op jouw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken.

Maak je organisatie vertrouwd met deze uitgangspunten en ga nu alvast na hoe je die voor de toekomst kunt waarborgen.

Stap 6: Bepaal of je een FG moet aanstellen

Sommige organisaties worden door de AVG verplicht om een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Bepaal of dit voor jouw organisatie geldt en wacht dan niet te lang met het aanstellen van een FG. Dit mag overigens niet iemand zijn met beslissingsbevoegdheid zoals de directeur.

Stap 7: Besteed je verwerking van gegevens uit?

Een bewerker is een persoon of organisatie aan wie je gegevensverwerking hebt uitbesteed. Bijvoorbeeld een administratiekantoor. Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens, maar heeft wel een aantal afgeleide verplichtingen. Zoals beveiliging en geheimhouding van de gegevens. Heb je jouw gegevensverwerking uitbesteed? Beoordeel dan of de maatregelen in bestaande contracten voldoen aan de eisen van de AVG. Zo niet, breng dan meteen de nodige wijzigingen aan.

Stap 8: Leidende toezichthouder

Heeft jouw organisatie vestigingen in meerdere EU-lidstaten? Of heeft de verwerking van jouw data impact in meerdere lidstaten? Dan hoef je onder de AVG nog maar met één privacy toezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacy toezichthouder jij valt.

Stap 9: Zorg dat je toestemming hebt van betrokken personen

Voor het verwerken van sommige gegevens heb je toestemming nodig van de betrokkenen. De AVG stelt strenge eisen aan deze toestemming. Nieuw is dat je moet kunnen aantonen dat je geldige toestemming hebt gekregen om hun persoonsgegevens te verwerken. En dat het voor hen net zo makkelijk moet zijn om hun toestemming weer in te trekken. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Pas deze procedure aan als dat nodig is.

Stap 10: Voorkom boetes!

Houd je je niet aan de regels van de AVG, dan riskeer je een fikse boete. Een boete krijg je trouwens ook als je verzuimt een datalek aan te geven. De meldplicht datalekken blijft onder de AVG bestaan en wordt zelfs nog aangescherpt. Dus komen jouw bedrijfsgegevens door een ongelukje op straat te liggen, meld dit dan direct!

Blijf up-to-date

Deze informatie is grotendeels afkomstig van De Autoriteit Persoonsgegevens (AP). Helaas zijn er nog een aantal ‘grijze gebieden’ in de nieuwe Europese wetgeving en kunnen niet alle vragen al beantwoord worden. We vinden het uiteraard belangrijk om jou goed voor te lichten, dus houden we de informatie op deze website zo veel mogelijk up-to-date.

Benieuwd hoe jouw organisatie ervoor staat?Vraag een fullscan intake aan
Aanvragen