Tien stappen om uw organisatie voor te bereiden op de Algemene Verordening Gegevensbescherming
Vanaf 25 mei 2018 is de nieuwe privacywetgeving de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Het is belangrijk om op tijd te beginnen met de voorbereiding, zodat uw organisatie tijdig voldoet aan de AVG. Door de AVG zullen de privacyrechten van betrokkenen worden versterkt en uitgebreid. De plichten van organisaties zullen toenemen. Dat is belangrijk, want privacy is een grondrecht. Daarom kunt u met behulp van de onderstaande tien stappen zich voorbereiden op de AVG.
1.Bewustwording
Zorg dat iedereen in uw organisatie op de hoogte is met de AVG. Er is namelijk veel impact van de nieuwe privacyregels op de huidige processen, goederen en diensten. Bovendien zijn er aanpassingen nodig zijn om te voldoen aan de AVG. Houd er rekening met de tijd die nodig is om de AVG te implementeren. Wanneer u niet voldoet aan de nieuwe privacywetgeving, riskeert u een boete van maximaal âŹ20 miljoen of 4% van uw wereldwijde omzet.
2.Rechten van betrokkenen
Onder de AVG krijgen betrokkenen, personen van wie organisaties gegevens verwerken, meer en verbeterde privacyrechten. Betrokkenen hebben al recht op inzage, en recht op correctie en verwijdering. Vanaf 25 mei 2018 krijgen ze ook recht op dataportabiliteit. Daarnaast kunnen betrokkenen bij de Autoriteit Persoonsgegevens klachten indienen wanneer ze van mening zijn dat organisaties niet voldoen aan de AVG. De Autoriteit Persoonsgegevens is verplicht om deze klachten in behandeling te nemen.
3.Overzicht verwerkingen
Alle organisaties die persoonsgegevens verwerken hebben onder de AVG een verantwoordingsplicht. Daarom is het belangrijk om een overzicht te maken van alle gegevensverwerkingen binnen uw organisatie. Documenteer welke persoonsgegevens worden verwerkt, met welk doel, hoe u aan deze gegevens komt en met wie u deze informatie deelt.
4.Data protection impact assessment
U kunt als organisatie verplicht zijn om een data protection impact assessment (DPIA) uit te voeren. Dit is verplicht wanneer er gegevens worden verwerkt die een hoog privacyrisico hebben.
5.Privacy by design & privacy by default
Het is belangrijk dat bij het ontwerpen van producten of diensten al rekening wordt gehouden met de bescherming van persoonsgegevens. Dit wordt privacy by design genoemd. Daarnaast moet u privacy by default toepassen: er moeten technische en organisatorische maatregelen genomen worden zodat er standaard alleen persoonsgegevens verwerkt worden die noodzakelijk zijn om een specifiek doel te bereiken.
6.Functionaris voor de Gegevensbescherming
Onder de AVG zijn grootschalige gegevensverwerkers verplicht om een functionaris voor de gegevensbescherming aan te stellen.
7.Meldplicht datalekken
U bent verplicht om alle datalekken die in binnen uw organisatie te documenteren. Zo kan de Autoriteit Persoonsgegevens controleren of u zich aan de meldplicht voldoet.
8.Bewerkersovereenkomst
Vaak wordt gegevensbewerking (gedeeltelijk) uitbesteed aan een bewerker (in de AVG âverwerkerâ genoemd). Controleer of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds voldoen aan de vereisten in de AVG.
9.Leidende toezichthouder
Wanneer uw organisatie in meerdere EU-lidstaten actief is, of de gegevensbewerkingen effect hebben op meerdere lidstaten, dan hoeft u alleen zaken te doen met Ă©Ă©n privacytoezichthouder. Deze privacytoezichthouder wordt ook wel de leidende toezichthouder genoemd, en is de EU-lidstaat waar de hoofdvestiging van de organisatie is gevestigd.
10.Toestemming
Voor gegevensverwerkingen is het nodig om toestemming te vragen van betrokkenen. Daarom is het noodzakelijk om te controleren hoe toestemming wordt gevraagd, verkregen en geregistreerd. U moet namelijk als organisatie kunnen aantonen dat u geldige toestemming heeft verkregen om persoonsgegevens te mogen verwerken.
Bent u benieuwd welke maatregelen u moet nemen om uw website AVG-proof te krijgen? Maak dan een vrijblijvend adviesgesprek!
Andere blogartikelen
