De Algemene Verordening Gegevensbescherming (AVG) geldt met ingang van 25 mei 2018 en brengt wijzigingen met zich mee ten opzichte van de huidige wetgeving (Wet bescherming persoonsgegevens). De AVG legt bijvoorbeeld meer nadruk op de rechten van de betrokkenen en de (veel verdergaande) verplichtingen van degene die persoonsgegevens verwerkt. Hoe kunt u uw organisatie nu voorbereiden op de AVG? Hieronder treft u daarvoor een checklist aan, welke u stap voor stap kunt doorlopen.
Datum: 03 januari 2018
Gewijzigd 10 april 2024
Geschreven door: Annemarie van Woudenberg
Leestijd: +/- 2 minuten
De Algemene Verordening Gegevensbescherming (AVG) geldt met ingang van 25 mei 2018 en brengt wijzigingen met zich mee ten opzichte van de huidige wetgeving (Wet bescherming persoonsgegevens). De AVG legt bijvoorbeeld meer nadruk op de rechten van de betrokkenen en de (veel verdergaande) verplichtingen van degene die persoonsgegevens verwerkt. Hoe kunt u uw organisatie nu voorbereiden op de AVG? Hieronder treft u daarvoor een checklist aan, welke u stap voor stap kunt doorlopen.
infographic downloadenZorg dat de juiste personen binnen uw bedrijf of organisatie op de hoogte zijn van de nieuwe regelgeving. Zij moeten de gevolgen hiervan inschatten en aanwijzen welke afdelingen/werkwijzen mogelijk in strijd handelen met de AVG.
Op grond van de AVG dient een bedrijf of organisatie te bewijzen dat zij in overeenstemming met de AVG handelt. Breng dus zorgvuldig in kaart welke persoonsgegevens u binnen uw bedrijf of organisatie bijhoudt, waar deze vandaan komen en met wie u deze hebt gedeeld.
U doet er goed aan alle verwerkingen binnen uw bedrijf of organisatie te registreren. Dit kan dan van het volledige bedrijf of enkel van bepaalde afdelingen, wanneer de verwerking van persoonsgegevens zich daartoe beperkt.
Wanneer uw bedrijf of organisatie persoonsgegevens verwerkt, dan dient u aan de betrokkene(n) bepaalde informatie te verschaffen, zoals de identiteit en de contactgegevens van uw bedrijf of organisatie, de doeleinden waarvoor de persoonsgegevens zijn bestemd en de wijze waarop de gegevens worden verwerkt.
Ook zult u voortaan de wettelijke grondslag voor de gegevensverwerking moeten meedelen, hoe lang de gegevens worden bewaard en of de gegevens worden uitgewisseld met organisaties buiten de Europese Unie. De AVG vereist dat deze informatie in beknopte, begrijpbare en duidelijke taal aan de betrokkene wordt verschaft.
De AVG voorziet onder meer in de volgende rechten voor de betrokkene:
U dient dus na te gaan of de huidige procedures in uw bedrijf of organisatie de rechten van de betrokkene waarborgen, waarbij ook van belang is hoe de persoonsgegevens kunnen worden verwijderd of hoe de gegevens elektronisch worden verwerkt.
Documenteer de diverse gegevensverwerkingen die uw bedrijf of organisatie uitvoert en stel vast of daar een grondslag voor is. Veel bedrijven en organisaties hebben wellicht geen grondslag (vastgesteld) voor de gegevensverwerkingen die ze uitvoeren. Zonder grondslag mogen geen persoonsgegevens worden verwerkt.
Controleer de wijze waarop uw bedrijf of organisatie toestemming vraagt, verkrijgt en registreert. De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven. De toestemming kan dus niet worden afgeleid uit een stilzwijgen, een vooraf aangevinkt vakje of uit een niet-handelen van de betrokkene. Als bedrijf of organisatie moet u kunnen aantonen dat toestemming werd gegeven. De betrokkene moet een gegeven toestemming net zo eenvoudig kunnen intrekken als het geven ervan.
De AVG biedt speciale bescherming aan de persoonsgegevens van kinderen, in het bijzonder in de context van commerciële internetdiensten zoals sociale netwerken. Dus als uw bedrijf of organisatie gegevens van kinderen – iedereen onder de 16 jaar – verzamelt, moet een ouder of voogd toestemming geven voor het verwerken van die persoonsgegevens.
Een datalek betreft een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot bijvoorbeeld verlies of ongeoorloofde toegang tot persoonsgegevens. U moet alle datalekken documenteren, melden bij de Autoriteit Persoonsgegevens en de eventuele betrokkene(n). Met deze documentatie kan de Autoriteit Persoonsgegevens achteraf controleren of u aan de meldplicht heeft voldaan.
Hiermee kunt u vooraf de risico’s van de verwerking van persoonsgegevens in kaart brengen om zo deze risico’s te verkleinen. Een Data protection impact assessment is alleen nodig als de verwerking van persoonsgegevens door uw bedrijf of organisatie een hoog risico met zich mee kan brengen. U kunt daarover ook overleggen met de Autoriteit Persoonsgegevens.
Bij het ontwerpen van diensten en producten moet u ervoor zorgen dat de persoonsgegevens worden beschermd (privacy by design). Daarnaast dient u maatregelen te treffen die ervoor zorgen dat uw bedrijf of organisatie alleen persoonsgegevens verwerkt die noodzakelijk zijn om een bepaald doel te bereiken (privacy by default).
Stel, indien nodig, een functionaris voor gegevensbescherming aan die toeziet op naleving van de AVG. Dat is bijvoorbeeld verplicht voor overheidsorganisaties of bedrijven of organisaties die zich bezig houden met verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereisen.
Indien uw bedrijf of organisatie internationaal actief is, moet u bepalen onder welke toezichthoudende autoriteit u valt. Dat is meestal de autoriteit van het land waar het bedrijf of de organisatie haar hoofdvestiging heeft of de vestiging is waar de beslissingen omtrent de gegevensverwerkingen worden genomen.
Indien u uw gegevensverwerking uitbesteedt aan een derde, dan moet u met deze derde afspraken maken die worden vastgelegd in een verwerkersovereenkomst. Deze afspraken moeten voldoen aan de AVG. Heeft u al een overeenkomst, maar voldoet deze niet aan de AVG, dan dient u deze aan te passen aan de vereisten in de AVG.
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.