In 10 stappen klaar voor de AVG

Als bedrijf wil je goed voorbereid zijn op de AVG (Algemene Verordening Gegevensbescherming), die 25 mei 2018 ingevoerd wordt. Je kunt nu alvast stappen ondernemen om niet verrast te worden door de nieuwe wetgeving. Wij hebben de 10 belangrijkste voor je op een rijtje gezet:

1. Breng in kaart hoe je persoonsgegevens verwerkt

Er moet duidelijk zijn wat je waarom met welke gegevens doet. Registreer daarnaast ook hoe je aan de gegevens komt en met wie ze gedeeld worden.

2. Zorg voor verbeterde privacyrechten

Onder de AVG krijgen mensen van wie je gegevens bewaart verbeterde privacyrechten. Draag er zorg voor dat men makkelijk eigen persoonsgegevens kan inzien, aanpassen en laten vernietigen.

3. Verduidelijk de privacyverklaring van je bedrijf

Alle privacyrechten van klanten en procedures omtrent gegevensgebruik moeten in een transparante privacyverklaring worden opgenomen. De verklaring moet meer gedetailleerde informatie bevatten dan voor de AVG. Bovendien moet begrijpelijke taal gebruikt zijn.

3. Voer een Privacy Impact Assessment (PIA) uit

Door een Privacy Impact Assessment (PIA) uit te voeren, breng je alle privacyrisico's van gegevensverwerking in kaart. Komt uit de PIA naar voren dat er grote risico's zijn, dan moeten die zoveel mogelijk verkleind worden. Lukt het vervolgens niet om grote risico's te verkleinen, dan moet je met de Autoriteit Persoonsgegevens overleggen voordat je deze verwerking toepast.

4. Verwerk Privacy by default & Privacy by design in je organisatie

De AVP verplicht de uitgangspunten Privacy by design en Privacy by default. Het eerste houdt in dat in het ontwerp van producten privacy al gewaarborgd moet worden: er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk voor het doel. Zo mag je bij een online bestelproces wel om een adres vragen, maar niet om iemands geboortedatum. Privacy by default vereist dat de standaardinstellingen altijd zo privacyvriendelijk mogelijk moeten zijn. Denk hieraan tijdens aanmeldformulieren met opties zoals 'Ja, ik wil aanbiedingen ontvagen'. Deze vakjes mogen niet vooraf aangevinkt zijn.

6. Check of je bedrijf verplicht is een Functionaris Gegevensbescherming (FG) aan te stellen

Een Functionaris Gegevensbescherming (FG) is binnen een organisatie verantwoordelijk voor de naleving van de AVP. Een FG aanstellen kan verplicht zijn voor een bedrijf, bijvoorbeeld voor overheidsinstanties, of bedrijven die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken. Een eigen personeelslid kan tot FG worden benoemd, mits hij/zij o.a. verstand heeft van IT, gegevensbeveiliging en privacywetgeving.

7. Documenteer alle datalekken intern

De meldplicht die een bedrijf onder de oude wet al had, blijft gelden. Daarnaast moeten nu ook alle datalekken intern gedocumenteerd worden, zodat de Autoriteit Persoonsgegevens kan controleren of je je aan de meldplicht gehouden hebt.

8. Stel verwerkersovereenkomsten op

Als er derden werken met persoonsgegevens, is jouw bedrijf daarvoor verantwoordelijk. De AVG verplicht om met elke externe afnemer van gegevens een verwerkersovereenkomst (onder de oude wet: bewerkersovereenkomst) aan te gaan. In deze overeenkomst leg je vast wat de doeleinden van de gegevensverwerking is en hoe de gegevens worden opgeslagen. Dit geldt bijvoorbeeld ook als je je personeelsadministratie aan een andere partij uitbesteedt.

9. Bepaal onder welke toezichthouder je valt

Als een bedrijf in meerdere EU-lidstaten opereert, is dankzij de Europa-brede regelgeving maar één privacytoezichthouder nodig. Bepaal in dat geval onder welke toezichthouder je bedrijf valt. De hoofdregel onder de AVG is dat de 'leidende toezichthouder' de toezichthouder is van de lidstaat waar de hoofdvestiging van een organisatie gevestigd is.

10. Zorg dat je op de juiste manier toestemming vraagt, krijgt en registreert

De AVP stelt strengere eisen aan toestemming die in sommige gevallen nodig is om gegevens te verwerken. Evalueer waarvoor je nu toestemming vraagt, hoe je dat vraagt en registreert. Onder de nieuwe wet ben je verplicht aan te kunnen tonen dat je geldige toestemming van mensen hebt gekregen. Het intrekken van toestemming moet daarnaast ook makkelijk geregeld zijn.