De AVG in 10 stappen

  • Fabian Schotel
  • Nieuws
  • apr 26, 2018
  • no comments.

Vanaf 25 mei 2018 is het zover; dan treedt de AVG in werking. In ons vorige artikel schreven we over wat er allemaal gaat veranderen en wat deze wet precies inhoudt. Wil jij weten hoe je deze wet het best in je bedrijf kunt implementeren? En welke stappen er genomen moeten worden? De Autoriteit Persoonsgegevens heeft de belangrijkste 10 stappen op een rij gezet. Deze delen wij natuurlijk graag met je.

De AVG in het kort

De AVG is een privacywetgeving wat voor heel Europa zal gelden. Deze wet zal de positie van mensen van wie gegevens wordt verwerkt versterken, waardoor ze weer eigen baas worden over hun gegevens. Zo worden de privacy rechten vernieuwd en worden ook de bestaande rechten een stuk sterker. Deze wetgeving zorgt er ook voor dat organisaties die persoonsgegevens verwerken een stuk meer verplichtingen krijgen. Ben je nog niet voldoende voorbereid op de AVG? Onderstaande stappen zullen je hierbij helpen.

Stap 1: Bewustwording

Elke nieuwe verandering start bij bewustwording. Het is daarom belangrijk dat relevante mensen in je bedrijf (denk aan beleidsmakers) weten wat de nieuwe privacyregels inhouden en wat er nodig is om aan de AVG te voldoen. Zij zijn namelijk degenen die moeten inschatten wat de impact van de wetgeving is op je huidige processen, dienstverlening en producten.

Stap 2: Rechten van betrokkenen

De komst van de AVG zorgt ervoor dat mensen van wie je persoonsgegevens verwerkt meer privacy rechten krijgen. Zorg er daarom voor dat de huidige rechten verbeterd worden en mensen de gegevens die je van ze opslaat in kunnen zien. Daarbij moet het voor deze mensen ook mogelijk zijn om persoonsgegevens te corrigeren en te verwijderen. Naast de al bestaande rechten, komen er ook nieuwe rechten bij. Denk hierbij aan het recht op dataportabiliteit (lees: dataportabiliteit maakt het voor betrokkenen mogelijk om gegevens her te gebruiken en door te geven aan andere organisaties). Een andere nieuwe regel om rekening mee te houden, is dat mensen de mogelijkheid krijgen om bij de AP klachten in te dienen over hoe je met persoonsgegevens omgaat. De Autoriteit Persoonsgegevens is vervolgens verplicht om deze klachten in behandeling te nemen. Het niet juist verwerken van persoonsgegevens kan voor hoge boetes zorgen.

Stap 3: Overzicht verwerkingen

Zorg ervoor dat je gegevensverwerkingen in kaart gebracht worden. Laat zien welke persoonsgegevens er door je bedrijf verwerkt worden en met welk doel dit wordt gedaan. Daarnaast moet je ook documenteren waar de gegevens vandaan komen en met wie ze gedeeld worden. De AVG zorgt ervoor dat je een verantwoordingsplicht hebt. Dit houdt in dat je moet kunnen aantonen dat je bedrijf of organisatie volgens de richtlijnen van de AVG handelt.

Stap 4: DPIA (Data Protection Impact Assessment)

Een Data Protection Impact Assessment, afgekort DPIA, is een manier om privacy risico’s van een gegevensverwerking in kaart te brengen. Dit wordt vooraf gedaan, waardoor je maatregelen kunt nemen om de risico’s en mogelijke gevaren te verkleinen. Als gegevensverwerking een hoog privacy risico met zich meeneemt ben je verplicht een DPIA uit te voeren.

Stap 5: Privacy by design & Privacy by default

Privacy by design houdt in dat je al bij het ontwerpen van producten en diensten rekening houdt met de bescherming van persoonsgegevens. Daarnaast moet je er ook voor zorgen dat je niet meer gegevens verzamelt dan noodzakelijk en ze ook niet langer bewaard blijven dan nodig. Onder privacy by default vallen alle technische en organisatorische maatregelen die genomen moeten worden om ervoor te zorgen dat er alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor het doel wat je wil bereiken.

Stap 6: Functionaris voor de gegevensbescherming

Veel organisaties, afhankelijk van de omvang en de branche, zijn verplicht een functionaris voor de gegevensbescherming aan te stellen.

Stap 7: Meldplicht datalekken

De meldplicht datalekken blijft bijna hetzelfde als voorheen. Wel worden er strengere eisen gesteld aan de registratie van datalekken binnen je organisatie. Alle datalekken moeten dan ook gedocumenteerd worden. De Autoriteit Persoonsgegevens moet met deze documentatie kunnen controleren of je aan de meldplicht hebt voldaan.

Stap 8: Verwerkersovereenkomsten

Is je gegevensverwerking uitbesteedt aan een verwerker? Kijk dan of de overeengekomen afspraken in de bestaande contracten nog steeds voldoen aan de privacywetgeving. Als dit niet het geval is, zorg dan dat je wijzigingen aanbrengt.

Stap 9: Leidende toezichthouder

Heb je een organisatie of bedrijf met vestigingen in de EU? Dan hoef je voortaan nog maar met één privacy toezichthouder zaken te doen. Dit wordt ook wel de leidende toezichthouder genoemd. Is dit voor jouw organisatie van toepassing? Kijk dan onder welke toezichthouder je bedrijf valt.

Stap 10: Toestemming

Voor bepaalde gegevensverwerkingen is er toestemming nodig van de betrokkenen. Hier worden in de AVG strengere eisen aan gesteld. Nieuw hierbij is dat u moet laten zien dat u toestemming hebt gekregen om persoonsgegevens te verwerken. Het moet overigens net zo makkelijk zijn om deze toestemming weer in te trekken.

 

Ook meer uit de toekomst van uw bedrijf halen?

Livechat op uw website of in uw mail helpt potentiële
klanten te converteren naar kopende klanten.