Voorbereiding op de AVG in 10 stappen

25 mei 2018 a.s. wordt de Algemene verordening gegevensbescherming, kort gezegd AVG, van kracht. Hierdoor vervalt de Wet bescherming persoonsgegevens (WPB).

Bent u er klaar voor, want de boetes zijn torenhoog!

Zo niet, dan helpen we u nu al op weg door middel van het AVG 10 stappenplan:

  1. Bewustwording
  2. Rechten van betrokkenen
  3. Overzicht verwerkingen
  4. Data protectie impact assessment
  5. Privacy by design & privacy by default
  6. Functionaris voor de gegevensbescherming
  7. Meldplicht datalekken
  8. Bewerkersovereenkomsten
  9. Leidende toezichthouder
  10. Toestemming

Stap 1. Bewustwording

Informeer de relevante mensen in uw organisatie over deze nieuwe wetgeving. Laat de organisatie inschatten wat de gevolgen zijn op de bestaande processen.

Stap 2. Rechten van betrokkenen

Mensen waarvan u de gegevens verwerkt krijgen meer en betere privacyrechten. Die moeten ze kunnen uitoefenen. Denk hierbij aan: recht op inzage en het recht op correctie en verwijdering. Houd ook rekening met het recht op dataportabiliteit, waarbij de betrokkenen makkelijk hun gegevens kunnen krijgen en doorgeven aan derden.

Stap 3. Overzicht verwerkingen

Breng uw gegevensverwerkingen in kaart. Leg vast welke persoonsgegevens u verwerkt en met welk doel u dit doet. Geef ook aan waar de gegevens vandaan komen en met wie u ze deelt. U heeft een verantwoordingsplicht waarin u dit moet aantonen. Een van de plichten bestaat uit het bijhouden van een register verwerkingsactiviteiten.

Stap 4. Data protectie impact assessment

U kunt verplicht zijn om een DPIA uit te voeren. Hiermee brengt u de privacyrisico’s in kaart. Daarnaast geeft u aan welke maatregelen u neemt om de risico’s te verkleinen.
U moet een DPIA uitvoeren als uw gegevens verwerking een hoog privacyrisico met zich meebrengt.
Lukt het u niet om op basis van de risicoanalyse een adequate maatregel in werking te stellen, neem dan contact op met de Autoriteit Gegevensbescherming.

Stap 5. Privacy by design & privacy by default

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:
• een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
• op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
• als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Stap 6. Functionaris voor de gegevensbescherming

Onder de AVG kunnen organisaties verplicht zijn een “FG” of “DPO” (Data Protection Officer) aan te stellen.

Stap 7. Meldplicht datalekken

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. Alle datalekken moeten intern gedocumenteerd worden. Hierdoor kan de AP controleren of u aan de meldplicht voldoet.

Stap 8. Bewerkersovereenkomsten

Heeft u uw gegevensverwerking uitbesteed aan een bewerker/verwerker? Zorg dan dat u een verwerkersovereenkomst opstelt die voldoet aan de eisen van de AVG. U blijft als eigenaar van de data zelf verantwoordelijk voor de privacy van de data.

Stap 9. Leidende toezichthouder

Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.

Stap 10. Toestemming

Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.
Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. Verder moet ook aangetoond worden dat de mensen de informatie over de verwerking gekregen hebben. Overigens geldt het verkrijgen van toestemming niet altijd. Een personeelsadministratie bijvoorbeeld behoeft deze toestemming niet. De gegevens zijn nl. nodig ten behoeve van het uitoefenen van de bedrijfsvoering.