Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.
0
0
0
s2smodern

Om binnen je onderneming op de juiste manier met de AVG van start te gaan kun je het beste deze 9 stappen doorlopen. Dan ben je goed op de hoogte van wat er van je verwacht wordt en voldoende voorbereid op vragen van klanten of bij een eventuele controle.

Of vraag meteen een gratis en vrijblijvend consult van 15 minuten aan. Dit is een tijdelijke actie!

vraag meer uitleg

 

 

1. Bewustwording

Onderschat dit punt niet. Zorg ervoor dat je weet wat de AVG voor je bedrijf gaat betekenen. Niet alleen nadelen, ik denk zeker evenzoveel voordelen. Zorg er in elk geval voor dat je een globaal beeld hebt van de betekenis en bedoeling van AVG en hoe je daar als bedrijf zijnde invulling aan moet geven.

Volg eventueel een korte basistraining (https://www.iom-trainingen.nl/trainingen/introductie-avg-wetgeving/) en heb je personeel? Laat hun dan zeker ook een basistraining volgen of een uitgebreide presentatie krijgen.

2. Rechten van personen

Niet alleen van je klanten, ook van je personeel of leveranciers en andere relaties verzamel je meer informatie dan je op dit moment misschien door hebt. De rechten van elke persoon of betrokkene zijn binnen de AVG vastgelegd. Wordt er op dit moment bij het opslaan en bewaren van gegevens rekening gehouden met deze rechten?

3. Inzage

De personen van wie je gegevens verzameld hebben uitgebreide rechten met betrekking tot hun gegevens die jij verzameld. Ze moeten die kunnen inzien, wijzigen, laten verwijderen en overdragen. Lijkt eenvoudig, maar hoe heb je dat geregeld? Is jou automatisering daarvoor ingericht?

4. Informeren

De personen van wie je gegevens verzameld of van plan bent te verzamelen hebben ook het recht op goed geïnformeerd te worden over welke gegevens met welk doel en met welk tijdsbestek op welke plek en onder welke bescherming bewaard gaan worden.

Dat zijn veel 'welkes'. Maar dit is wel wat er in je AVG verklaring moet komen te staan die je op je website plaatst of aan je klanten stuurt. Je verklaring moet ook weer eenvoudig gevonden worden, dus op een logische plek op je website staan of bijvoorbeeld via een linkje of PDF in je communicatie meesturen.

Je moet de personen ook wijzen op de mogelijkheid van klachten indien en hoe ze de autoriteit persoonsgegevens daarover kunnen bereiken. 

4. Toestemming

De AVG bepaald ook heel strikt hoe je toestemming moet krijgen en hoe die geregeld moet zijn. Personen moet geheel vrijwillig en vrijblijvend toestemming verlenen en die toestemming ook zonder reden of belemmering per direct kunnen intrekken. De persoon moet die toestemming expliciet en zonder twijfel verlenen. Je mag dus het vakje van toestemming niet alvast aanvinken.
Dat je toestemming hebt gekregen en de manier waarop je die hebt gekregen moet je ook altijd kunnen aantonen. Voor elk soort gegevens dat je vastlegt moet een grondslag gelden op basis waarvan de reden van het bewaren verantwoord wordt.

5. Doel van gegevens

Niet alleen voor jezelf maar zeker ook voor de personen van wie je gegevens verzameld moet je goed in kaart brengen en hebben wat je verzameld. Ook het doel dient ondubbelzinnig duidelijk te zijn. Dus per soort gegeven moet je kunnen aangeven wat het doel en de (wettelijke)grondslag is waarom je die bewaard.

Daarnaast is het ook belangrijk om vast te leggen wie toegang heeft tot welk deel van de gegevens.

6. AVG Register

Een Data protection impact assesment (DPIA) zal voor jou niet gelden. Maar streef wel na om in kaart te brengen wat de risico's zijn van de gegevens die je verzameld. Ook het aanpassen van de manier waarop je gegevens verzameld en bewaard moet je vastleggen.

Je bent verplicht om met een register te werken waarin je de verwerking van persoonsgegevens bijhoudt, en je organisatie:

  1. persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of
  2. risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of
  3. meer dan 250 medewerkers heeft.

In de praktijk zullen (vrijwel) alle organisaties verplicht zijn de verwerking van persoonsgegevens in een register bij te houden. Dit omdat binnen een organisatie klanten-, leveranciers- of personeelsbeheer steeds meer voorkomt.

Leg daarom meteen een AVG register aan zodat je meteen en altijd inzichtelijk hebt wat de status van de gegevensverzameling is. Zeker bij een controle is het kunnen overhandigen van zo'n register een reusachtige pré.

7. AVG als onderdeel van je bedrijfsvoering

In de diverse communicatie over AVG kom je termen als 'Privacy by design en privacy by default" tegen. Ook wordt er veel gesproken over een FG (functionaris gegevensbescherming) aanstellen.

De noodzaak hiervan is afhankelijk van je diensten, producten, grote van de organisatie en de soort gegevens je verzameld. Als je twijfelt laat dit dan door een adviseur of jurist vaststellen.

Stel in elk geval iemand aan als toezichthouder op de AVG. Dit is de contactpersoon bij wie instanties en betrokken personen terecht kunnen met vragen over de persoonsgegevens. Dit voorkomt dat er uiteindelijk niemand iets weet. Let erop dat een functionaris gegevensbescherming een officiële titel is en dat je zo'n functionaris ook moet aanmelden. Noem de betreffende persoon dan ook anders binnen je organisatie als je geen officiële FG nodig hebt.

8. Datalekken

Niet elke datalek hoeft gemeld te worden, maar moet wel gedocumenteerd worden. Ook dit vastleggen gebeurt in het AVG register. De AVG beschrijft exact wat je moet vastleggen. Het moet een proces verbaal worden aan de hand waarvan je altijd kunt reproduceren wat er gebeurt is en wat de impact is geweest.

Wat heeft het datalek veroorzaakt, op welke dag en tijdstip, wat heb je gedaan om de impact te beperken. Zijn zomaar een paar zaken die gedocumenteerd moeten worden.

Een datalek is niet alleen het verliezen van gegevens doordat je bijvoorbeeld je laptop kwijt raakt, maar ook als je netwerk besmet raakt met malware of gehackt wordt. Maar ook als je bijvoorbeeld een computerschijf met klantgegevens vernietigd zonder daar een back-up van te hebben geldt als datalek.

Voor het melden van datalekken kun je terecht op de website van de autoriteit persoonsgegevens:

https://datalekken.autoriteitpersoonsgegevens.nl/

9. Verwerkingsovereenkomsten

Als je met andere bedrijven samenwerkt bestaat er een kans dat deze bedrijven over (een deel van) je verzameling persoonsgegevens toegangsrechten heeft om deze in te zien of te gebruiken.
Je boekhoudpakket, je hostingbedrijf, leveranciers, overkoepelende organisatie etc.

Met alle instanties dien je in verwerkingsovereenkomsten alle afspraken met betrekking tot het gebruiken van de gegevens vast te leggen.

  • over welke gegevens ze beschikken
  • welke bewerkingen ze er mee mogen uitvoeren
  • hoe lang ze over de gegevens beschikken
  • wat het doel is waarvoor ze de gegevens gebruiken
  • dat de verwerking alleen plaats vind aan de hand van de schriftelijke instructies die jij meegeeft
  • in welk land de gegevens verwerkt worden
  • de geheimhoudingsplicht van elke werknemer die bij de gegevens kan
  • de verwerker de verwerking niet door een ander bedrijf mag laten uitvoeren zonder jou schriftelijke toestemming
  • hoe de gegevens beveiligd worden
  • hoe aan verzoeken van de betrokkenen wordt voldaan
  • wat er met de gegevens gebeurt na beëindiging verwerkersovereenkomst
  • dat de verwerker meewerkt aan audits van jou en overheidsinstanties

Dit moet je in je privacyverklaring ook doorgeven aan je klanten.

Vraag een gratis en vrijblijvend consult van 15 minuten aan. Dit is een tijdelijke actie!

vraag meer uitleg

 Een complete AVG controle van gegevens, netwerk, back-up en website.