De privacyregels (AVG) waar u nu al aan moet voldoen. Wat nu te doen?

25 mei 2018: de dag dat de Algemene Verordening Gegevensbescherming (“AVG”) in werking is getreden.

Inmiddels zijn we ruim twee weken verder. Wat nu als u nog niet de tijd had gevonden om daar mee bezig te zijn. Daarom, voor u, een korte checklist; what to do?

1) Inventarisatie verwerking persoonsgegevens (Klik hier voor meer informatie)
Breng in kaart welke persoonsgegevens in uw organisatie worden gebruikt en waarvoor. Het betreft niet alleen ‘grote’ gegevensverwerkingen, maar ook bijvoorbeeld gebruik van social media, monitoring of het (grootschalig) verzenden van nieuwsbrieven. Voor sommige gegevensverwerkingen heeft u toestemming nodig van de betrokkene en deze toestemming moet u – voor ieder individueel geval – kunnen bewijzen. Evalueer daarom op welke wijze u om toestemming vraagt en pas dit, indien nodig, aan.

2) Verwerkingsbeleid (Klik hier voor meer informatie)
Mogelijk dient u de voorgaande inventarisatie op te nemen in een verwerkersregister. Een verwerkingsregister dient te worden bijgewerkt als verwerkingen wijzigen. Wie is verantwoordelijk voor de verwerking (per grondslag)? Op welke wijze wordt de verwerking van data geminimaliseerd? Bepaal verder hoe betrokkenen hun rechten kunnen uitoefenen (zoals recht op inzage, correctie, dataportabiliteit) en bepaal hoe – en wanneer (per grondslag) – gegevens worden vernietigd.

3) Beveiligingsbeleid (Klik hier voor meer informatie)
Evalueer of formuleer het beveiligingsbeleid, om de bescherming van de persoonsgegevens te optimaliseren. Spits dit toe op zowel de techniek (hardware, software e.d.) als intern op de werkvloer. Voorkom bijvoorbeeld dat laptops op de werkplek open en onbeveiligd achter worden gelaten, dat ingelogd wordt op openbare WiFi’s etc.

4) Verwerkersovereenkomsten
Het is noodzakelijk een verwerkersovereenkomst te sluiten met iedere partij (een derde partij) waaraan de verwerking van persoonsgegevens is uitbesteed.

5) Functionaris Gegevensbescherming
Het instellen van een Functionaris Gegevensbescherming (FG) is niet voor ieder bedrijf verplicht. Bepaal of u hiertoe verplicht bent en wijs deze tijdig aan. Ook indien u niet verplicht bent om een FG aan te stellen, kan het raadzaam zijn voor uw bedrijfsvoering om tóch een FG aan te stellen binnen uw organisatie. Ten minste dient duidelijk te zijn wie als (eerste) contactpersoon fungeert.

6) Privacyverklaring (Klik hier)
Leg vast hoe u omgaat met persoonsgegevens binnen uw organisatie. Werk bovenstaande punten uit in een document en hou dat bij. Zorg dat dit document in te zien is voor uw klanten, relaties en contactpersonen. Transparantie is het sleutelwoord.

7) Beleid aangaande datalekken
Formuleer een beleid voor datalekken binnen uw organisatie, als dat ontbreekt. Aan wie moet dit intern worden gemeld? Wie is verantwoordelijk voor het maken van een (eventuele) melding bij een toezichthouder en/ of aan betrokken personen/ instanties? Zorg voor een register waarin datalekken worden bijgehouden.

8) Train medewerkers
Zorg ervoor dat uw medewerkers op de hoogte zijn van het bij u geldende privacy beleid en de maatregelen om de veiligheid van persoonsgegevens te vergroten.

&DJA kan u adviseren bij het voldoen aan de verplichtingen van de AVG en de praktische uitvoering daarvan binnen uw organisatie.

Het voorgaande is een kort overzicht van de belangrijkste punten en kan geenszins als volledig worden beschouwd. Het is een indicatie om te controleren of u op de goede weg bent. Hier helpen wij u graag mee verder.

Heeft u vragen over uw privacy statement, informatieplicht, de cookieregelgeving en/of andere vragen over de AVG? Neem dan contact op met Hein Snijders of Simon Velthuizen.