Blog
Voldoen Aan De AVG In 10 Stappen

Voldoen aan de AVG in 10 stappen

Op 25 mei 2018 is de nieuwe Europese privacywetgeving ingegaan; de Algemene Verordening Gegevensbescherming (AVG). Met de AVG (GDPR) kent de Europese Unie niet langer allemaal verschillende wetten, maar slechts één privacywet. Deze strengere Europese wetgeving geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen. Dus ook voor vhm|abc. Anders dan voorheen vallen naast namen en adressen ook gegevens gekoppeld aan IP-adressen, cookies en dergelijke onder de wet. De nadruk van de verordening ligt op het aantonen dat jij je aan de wet houdt. Daarmee dwingt de wet ondernemers tot meer actie en maatregelen. Ondanks dat de nieuwe wetgeving inmiddels meer dan een jaar geleden is ingegaan, merk ik dat onze klanten vaak nog niet precies weten wat de AVG voor hen betekent. In deze blog geef ik jou daarom tien handige stappen om in no-time te voldoen aan de AVG.

1. Bewustwording

Ik raad je aan om iedereen in jouw onderneming bekend te maken met de nieuwe privacyregels.

2. Informeren

Wanneer intern iedereen op de hoogte is gesteld, is het tijd voor de externe communicatie. Dit geef je vorm door o.a. een privacyverklaring op te stellen. Houd hierbij rekening met de extra privacyrechten voor personen, zoals het recht op inzage en het recht op correctie en verwijdering. De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn en in ieder geval de volgende informatie bevatten:

  • Je bedrijfsgegevens;
  • het doel van de gegevensvastlegging;
  • welke gegevens je verzamelt;
  • aan wie je de gegevens eventueel doorgeeft;
  • hoe lang je de gegevens bewaart;
  • uitleg over cookies en de reden van gebruik;
  • de door jou toegepaste beveiliging van de vastgelegde persoonsgegevens;
  • het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit);
  • het recht op intrekking van verleende toestemming;
  • het recht om een klacht in te dienen.

Eigen gegevens

Het recht om eigen gegevens in te zien, te corrigeren en aan te vullen was ook in de oude privacywetgeving al geregeld. Deze rechten blijven onder de nieuwe wet bestaan. Daar komt het recht op dataportabiliteit bij. Je moet ervoor zorgen dat mensen hun gegevens makkelijk kunnen ontvangen en doorgeven aan een andere organisatie wanneer zij dat willen.

Toestemming

Iedereen krijgt door de AVG meer mogelijkheden om voor zichzelf op te komen. De privacyrechten worden versterkt en uitgebreid. De AVG beschrijft hoe je geldige toestemming van mensen kunt krijgen om de persoonsgegevens te verwerken. Daarvoor is een bewuste handeling van de persoon nodig. Je mag bijvoorbeeld het vakje voor toestemming niet alvast aankruisen. De verkregen toestemming moet je kunnen aantonen. Het intrekken van de toestemming moet net zo makkelijk zijn als het geven van toestemming.

Klachten

Je moet mensen wijzen op de mogelijkheid om bij de Autoriteit Persoonsgegevens een klacht in te dienen over hoe je met hun persoonsgegevens omgaat.

3. Overzicht verwerkingen

Maak inzichtelijk welke persoonsgegevens worden gebruikt en met welk doel, waar ze worden opgeslagen en wie toegang tot de gegevens heeft.

4. Data protection impact assessment (DPIA)

Zorg voor een data protection impact assessment. Hiermee voldoe je aan de verplichting om de risico’s van gegevensverwerking vooraf in kaart te brengen.

5. Privacy by design en privacy by default

Houd bij het ontwerpen van nieuwe producten rekening met de bescherming van privacygevoelige informatie. Verwerk alleen persoonsgegevens die noodzakelijk zijn voor een specifiek doel.

6. Functionaris gegevensbescherming

De AVG verplicht grootschalige gegevensverwerkers een ‘functionaris gegevensbescherming’ aan te stellen.

7. Meldplicht datalekken

Herijk de procedures binnen jouw organisatie voor het vastleggen en melden van datalekken. Onder de AVG is de meldplicht uitgebreid en is het verplicht om alle datalekken te documenteren.

8. Bewerkersovereenkomsten

Zorg voor een bewerkersovereenkomst met iedere organisatie die persoonsgegevens voor jouw bedrijf verwerkt. Alle bestaande overeenkomsten moeten voldoen aan de AVG.

9. Leidende toezichthouder bepalen

Is jouw organisatie in meerdere EU-landen actief? Onder de AVG (GDPR) hoef je maar met één privacy toezichthouder zaken te doen; de leidende toezichthouder. Denk hierbij bijvoorbeeld aan de Autoriteit Persoonsgegevens.

10. Toestemming

De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Je moet kunnen aantonen dat er geldige toestemming is verkregen. Onthoud; het gaat om de manier waarop je toestemming vraagt, krijgt en registreert.

Ik wens je een succesvolle en zorgeloze toekomst! Heb je vragen over deze stappen, neem dan gerust contact met mij op.

Groet,

Maura

Back To Top