In 14 stappen voldoen aan AVG – de Europese privacywetgeving
In dit digitale tijdperk zijn persoonsgegevens steeds belangrijker, waarschijnlijk ook voor jouw organisatie. Om de positie van betrokkenen te versterken, is het verplicht de persoonsgegevens van je doelgroep volgens bepaalde regels beschermen. De wet Algemene verordening gegevensbescherming (AVG) geeft je als persoon meer privacyrechten en als organisatie meer verantwoordelijkheden. Als organisatie moet je stappen ondernemen om te voldoen aan de AVG.
In 14 stappen voldoen aan AVG:
1. Gegevens verwerken
Je mag alleen persoonsgegevens opslaan en verwerken als je voldoet aan minimaal één van de grondslagen van de AVG.
2. Verantwoordingsplicht
Om aan te kunnen tonen dat jouw organisatie aan de AVG voldoet heb je een verantwoordingsplicht. Het bijhouden van register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Documenteer welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.
3. Toestemming vragen
De AVG stelt strengere eisen aan toestemming. Je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Het moet ook net zo makkelijk zijn om hun toestemming in te trekken als die te geven. Evalueer de manier waarop je toestemming vraagt.
4. Inzage en rechten van personen
De mensen van wie je persoonsgegevens verwerkt, krijgen meer en verbeterde privacyrechten. Zo hebben personen het recht op inzage en het recht op correctie en verwijdering van hun gegevens. Zorg ervoor dat zij hun privacyrechten goed kunnen uitoefenen. Wijs je je betrokkenen ook al op de privacyrechten die ze hebben?
5. Inzage en rechten van personeel
Personeel heeft ook het recht op inzage van hun gegevens. Dus als personeel vraagt om zijn/haar personeelsdossier, dan moet je hem/haar laten zien welke persoonlijke gegevens je bewaart. Je kunt hem/haar ook een kopie geven van het dossier.
6. Privacy by design & privacy by default
Maak je organisatie vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe je deze beginselen binnen je organisatie kunt invoeren.
7. Dataportabiliteit
Houd ook rekening met het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie.
8. Privacyrisico’s in kaart brengen
Controleer of je als organisatie verplicht bent een data protection impact assesment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Daarna neem je maatregelen om de risico’s te verkleinen.
9. Verantwoordelijke aanstellen
Stel één leidende privacytoezichthouder aan. Ook indien je organisatie vestigingen in meerdere EU-lidstaten heeft of je gegevensverwerking in meerdere lidstaten impact heeft. Als werkgever ben je uiteindelijk zelf verantwoordelijk voor de gegevensverwerking volgens de AVG.
10. Gegevensbescherming
Controleer of je als organisatie verplicht bent om een functionaris voor de gegevensbescherming (FG) aan te stellen. Wacht niet lang met het werven van een FG.
11. Meldplicht datalekken
De meldplicht datalekken is onder de AVG aangevuld met strengere eisen aan je eigen registratie van de datalekken die zich in je organisatie hebben voorgedaan. Zo moet je nu alle datalekken documenteren.
12. Verwerkersovereenkomsten
Als je de gegevensverwerking hebt uitbesteed aan een andere partij, zorg dan dat de overeenkomsten aangepast worden aan de nieuwe eisen van de AVG.
13. Jouw situatie
Gebruik Regelhulp Algemene verordening gegevensbescherming om je eigen situatie in kaart te brengen.
14. Implementatie
Onderzoek wat de impact van de AVG is op je huidige processen, diensten en goederen. Breng de mensen in je organisatie op de hoogte van de nieuwe privacyregels. Werk uit welke aanpassingen binnen je organisatie nodig zijn om aan de AVG te voldoen. Plan tijd in voor de implementatie van de AVG.
Tijd en stress besparen?
De implementatie van de wet vereist aandacht. Voldoe je niet aan de wet dan heeft dat gevolgen voor je organisatie. Voor persoonlijk advies kun je contact opnemen met Wim Derksen via onderstaand formulier of 0570 – 210500.
Bovenstaande informatie is mede ontleend aan www.autoriteitspersoongegevens.nl en www.hulpbijprivacy.nl.