AVG stappenplan

De AVG: wat verandert er?

Vanaf 25 mei 2018 gaat in de gehele EU dezelfde privacywetgeving gelden: de AVG (Algemene Verordening Gegevensbescherming). De AVG vervangt de huidige Wet Bescherming Persoonsgegevens en de nieuwe regels zijn breder en strenger.

Wat zijn nu de belangrijkste veranderingen?

AVG stappenplan
  1. De AVG zal in tegenstelling tot de WBP in de gehele EU van toepassing zijn.
  2. Het begrip persoonsgegevens wordt uitgebreid: niet alleen naam, adres of telefoonnummer valt eronder maar ook computergegevens zoals IP-adressen en cookies.
  3. De reden waarom u gegevens vastlegt moet helder zijn. Grondslagen kunnen o.a. zijn: uitvoering van een overeenkomst, wettelijke verplichting, algemeen belang, gerechtvaardigde belangen.
  4. Er moet door de betrokkene actief en ondubbelzinnig toestemming gegeven worden voor vastlegging. Alles moet in begrijpelijke taal aan de betrokkene geschreven worden.
  5. Betrokkenen hebben meer rechten en u moet ze daar ook op wijzen, o.a. inzage, wijzigen van gegevens, overdragen, vernietigen, beperken en bezwaar maken tegen verwerkingen.
  6. Documentatie: alles wat u doet met persoonsgegevens moet aantoonbaar vastgelegd zijn, hieronder valt bijvoorbeeld ook een nieuwsbrief of de personeelsadministratie. Documenteer welke persoonsgegevens u verwerkt, met welk doel, waar de gegevens vandaan komen en met wie u ze deelt. De verwerking moet transparant zijn en u moet hierover verantwoording kunnen afleggen.
  7. U mag alleen gegevens vastleggen en bewaren die u actief nodig heeft. Dus alleen gegevens voor een bepaald doel, die ook alleen voor dat doel worden gebruikt en niet langer worden bewaard dan nodig.
  8. De informatiebeveiliging moet up to date zijn en blijven.
  9. Actieve interne communicatie over de omgang met persoonsgegevens is van belang.
  10. Wanneer externe partijen persoonsgegevens verwerken waar u verantwoordelijk voor bent dan moet dit worden vastgelegd in een overeenkomst, een zogenaamde verwerkersovereenkomst waarin o.a. dient te worden opgenomen wat er wordt verwerkt, met welk doel, hoe de beveiliging is geregeld, wat er na afloop gebeurt met de gegevens en wie er eindverantwoordelijke is en wie slechts verwerker.
  11. Datalekken moeten geregistreerd worden. De verwerker moet een datalek melden aan de verantwoordelijke, bijvoorbeeld de opdrachtgever, en er hoeft pas een melding bij de toezichthouder te worden gedaan als er daadwerkelijk een lek heeft plaatsgevonden. Onder de WBP moet er al een melding gedaan worden als niet kan worden uitgesloten dat er een onrechtmatige verwerking van persoonsgegevens kan plaatsvinden.
  12. Het kan zijn dat u verplicht bent om een Functionaris Gegevensbescherming (FG) aan te nemen. Dit is verplicht bij overheden en publieke organisaties, organisaties die op grote schaal individuen volgen en organisaties die bijzondere persoonsgegevens verwerken. De FG is het interne aanspreekpunt voor alle vragen rondom persoonsgegevens en die toeziet op naleving van de AVG.
  13. Indien er risico’s aan de verwerking zitten bent u verplicht om een PIA (Privacy Impact Assessment) uit te laten voeren. Een PIA is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Daarna kan de verwerking pas gedaan worden.

Om boetes te voorkomen dient u dus organisatorisch een aantal maatregelen te nemen en zaken uitgebreid vast te leggen, juridisch verschillende documenten en processen te checken en technische aanpassingen te doen op het gebied van informatiebeveiliging.

U kunt hierbij het volgende stappenplan hanteren:

Stap 1

Stel vast of de AVG van toepassing is.  Is er sprake van persoonsgegevens? Is er sprake van “verwerken”? Een handeling verrichten met persoonsgegevens, denk bijvoorbeeld aan klantgevens verwerken in een (facturatie-)systeem, gegevens van oude klanten verwijderen, registreren op een website van gegevens, zal al snel als verwerken in de zin van de AVG worden aangemerkt.

Stap 2

Bedenk voor welke partijen u gegevens verwerkt (bijvoorbeeld: personeel, (oud-) klanten, leveranciers, samenwerkingspartners) en bepaal de grondslag bij de gegevens die verwerkt worden.

Stap 3

Leg o.a. grondslag en doel vast in een register van verwerkingsactiviteiten.

Stap 4

Intern beleid: hoe ga je om met verwerking van persoonsgegevens binnen de verschillende processen van de onderneming

Stap 5

Neem in uw standaard documenten op hoe u omgaat met de rechten van betrokkenen en informeer betrokkenen over hun rechten: o.a. welke gegevens verzameld worden met welk doel en op basis van welke grondslag uit de AVG, hoe lang gegevens bewaard worden, welke beveiligingsmaatregelen worden getroffen en de bedrijfsgegevens en contactpersoon (zie ook punt 5). Dit kan door  opname in overeenkomsten en/of algemene voorwaarden, een (losse)privacy verklaring of privacy -policy op de website. Doe dit niet alleen extern maar ook intern (bijvoorbeeld in een bedrijfsreglement, arbeidsovereenkomst).

Stap 6

Vraag betrokkenen om toestemming tot verwerking van hun gegevens en leg dit vast.

Stap 7

Neem beveiligingsmaatregelen ter voorkoming van datalekken.

Stap 8

Registreer datalekken.

Stap 9

Sluit een verwerkersovereenkomst met partijen die voor u persoonsgegevens verwerken.

Stap 10

Bekijk of u een Functionaris Gegevensbescherming moet aanstellen.

Stap 11

Bekijk of u verplicht bent om een PIA uit te laten voeren.

Stap 12

Bepaal onder welke toezichthoudende autoriteit u valt indien uw bedrijf of organisatie internationaal actief is.

Heeft u nog vragen? Neem contact op met Marion van Acker via tel: 0493-698900 of marion@vanlieropadvies.nl.

Tags:
, ,