De Algemene Verordening Gegevensbescherming (AVG) geldt met ingang van 25 mei 2018 en brengt wijzigingen met zich mee ten opzichte van de huidige wetgeving (Wet bescherming persoonsgegevens). De AVG legt bijvoorbeeld meer nadruk op de rechten van de betrokkenen en de (veel verdergaande) verplichtingen van degene die persoonsgegevens verwerkt. Hoe kunt u uw organisatie nu voorbereiden op de AVG? Hieronder treft u daarvoor een checklist aan, welke u stap voor stap kunt doorlopen.
infographic downloaden
1. Kennis over de AVG
Zorg dat de juiste personen binnen uw bedrijf of organisatie op de hoogte zijn van de nieuwe regelgeving. Zij moeten de gevolgen hiervan inschatten en aanwijzen welke afdelingen/werkwijzen mogelijk in strijd handelen met de AVG.
2. Documentatieplicht
Op grond van de AVG dient een bedrijf of organisatie te bewijzen dat zij in overeenstemming met de AVG handelt. Breng dus zorgvuldig in kaart welke persoonsgegevens u binnen uw bedrijf of organisatie bijhoudt, waar deze vandaan komen en met wie u deze hebt gedeeld.
U doet er goed aan alle verwerkingen binnen uw bedrijf of organisatie te registreren. Dit kan dan van het volledige bedrijf of enkel van bepaalde afdelingen, wanneer de verwerking van persoonsgegevens zich daartoe beperkt.
3. Informeren
Wanneer uw bedrijf of organisatie persoonsgegevens verwerkt, dan dient u aan de betrokkene(n) bepaalde informatie te verschaffen, zoals de identiteit en de contactgegevens van uw bedrijf of organisatie, de doeleinden waarvoor de persoonsgegevens zijn bestemd en de wijze waarop de gegevens worden verwerkt.
Ook zult u voortaan de wettelijke grondslag voor de gegevensverwerking moeten meedelen, hoe lang de gegevens worden bewaard en of de gegevens worden uitgewisseld met organisaties buiten de Europese Unie. De AVG vereist dat deze informatie in beknopte, begrijpbare en duidelijke taal aan de betrokkene wordt verschaft.
4. Rechten van de betrokkene
De AVG voorziet onder meer in de volgende rechten voor de betrokkene:
- Het verkrijgen van informatie over en toegang tot de persoonsgegevens
- Het doen van een verzoek tot correctie of verwijdering van de persoonsgegevens
- Het maken van bezwaar tegen de verwerking van persoonsgegevens
- Het recht de persoonsgegevens aan een ander over te dragen
U dient dus na te gaan of de huidige procedures in uw bedrijf of organisatie de rechten van de betrokkene waarborgen, waarbij ook van belang is hoe de persoonsgegevens kunnen worden verwijderd of hoe de gegevens elektronisch worden verwerkt.
5. Wettelijke grondslag voor het verwerken van persoonsgegevens
Documenteer de diverse gegevensverwerkingen die uw bedrijf of organisatie uitvoert en stel vast of daar een grondslag voor is. Veel bedrijven en organisaties hebben wellicht geen grondslag (vastgesteld) voor de gegevensverwerkingen die ze uitvoeren. Zonder grondslag mogen geen persoonsgegevens worden verwerkt.
6. Toestemming
Controleer de wijze waarop uw bedrijf of organisatie toestemming vraagt, verkrijgt en registreert. De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven. De toestemming kan dus niet worden afgeleid uit een stilzwijgen, een vooraf aangevinkt vakje of uit een niet-handelen van de betrokkene. Als bedrijf of organisatie moet u kunnen aantonen dat toestemming werd gegeven. De betrokkene moet een gegeven toestemming net zo eenvoudig kunnen intrekken als het geven ervan.
7. Kinderen
De AVG biedt speciale bescherming aan de persoonsgegevens van kinderen, in het bijzonder in de context van commerciële internetdiensten zoals sociale netwerken. Dus als uw bedrijf of organisatie gegevens van kinderen – iedereen onder de 16 jaar – verzamelt, moet een ouder of voogd toestemming geven voor het verwerken van die persoonsgegevens.
8. Datalekken
Een datalek betreft een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot bijvoorbeeld verlies of ongeoorloofde toegang tot persoonsgegevens. U moet alle datalekken documenteren, melden bij de Autoriteit Persoonsgegevens en de eventuele betrokkene(n). Met deze documentatie kan de Autoriteit Persoonsgegevens achteraf controleren of u aan de meldplicht heeft voldaan.
9. Data protection impact assessment
Hiermee kunt u vooraf de risico’s van de verwerking van persoonsgegevens in kaart brengen om zo deze risico’s te verkleinen. Een Data protection impact assessment is alleen nodig als de verwerking van persoonsgegevens door uw bedrijf of organisatie een hoog risico met zich mee kan brengen. U kunt daarover ook overleggen met de Autoriteit Persoonsgegevens.
10. Privacy by design en default
Bij het ontwerpen van diensten en producten moet u ervoor zorgen dat de persoonsgegevens worden beschermd (privacy by design). Daarnaast dient u maatregelen te treffen die ervoor zorgen dat uw bedrijf of organisatie alleen persoonsgegevens verwerkt die noodzakelijk zijn om een bepaald doel te bereiken (privacy by default).
11. Functionaris voor gegevensbescherming
Stel, indien nodig, een functionaris voor gegevensbescherming aan die toeziet op naleving van de AVG. Dat is bijvoorbeeld verplicht voor overheidsorganisaties of bedrijven of organisaties die zich bezig houden met verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereisen.
12. Internationaal
Indien uw bedrijf of organisatie internationaal actief is, moet u bepalen onder welke toezichthoudende autoriteit u valt. Dat is meestal de autoriteit van het land waar het bedrijf of de organisatie haar hoofdvestiging heeft of de vestiging is waar de beslissingen omtrent de gegevensverwerkingen worden genomen.
13. Contracten met derden
Indien u uw gegevensverwerking uitbesteedt aan een derde, dan moet u met deze derde afspraken maken die worden vastgelegd in een verwerkersovereenkomst. Deze afspraken moeten voldoen aan de AVG. Heeft u al een overeenkomst, maar voldoet deze niet aan de AVG, dan dient u deze aan te passen aan de vereisten in de AVG.
