Stappenplan voor de AVG

Karin van der Meer is information security analyst bij IonIT

In mijn vorige blog schreef ik over de feiten en verplichtingen van de AVG. U kunt deze hier teruglezen. In deze blog ga ik de praktische vertaling hiervan maken. Want waar moet u beginnen?

De 15 belangrijkste stappen richting 25 mei 2018 heb ik voor u op een rijtje gezet. Deze blog is een samenvatting, het hele verhaal leest u in de whitepaper.

1. Creëer bewustwording

Zorg er voor dat de sleutelfiguren in uw organisatie weten wat de impact van de AVG op uw huidige processen is en welke aanpassingen gedaan moeten worden.

2. Stel een Functionaris Gegevensbescherming aan (indien nodig)

Bent u verplicht een functionaris gegevensbescherming (FG of ook wel DPO genoemd) aan te stellen? Dan kunt u dit het beste in een vroeg stadium doen, ze kunnen goed helpen bij het AVG gereed maken.

3. Zorg voor de juiste grondslag

Voor elk type gegevensverwerking dient u het doel hiervoor te bepalen. Bepaal de wettelijk basis en documenteer dit zorgvuldig, vermeld dit in de privacyverklaring en bij de toegangsverzoeken van de betrokkene.

4. Zorg voor de juiste toestemming

Verwerkt u persoonsgegevens op basis van toestemming? Ga dan na of deze toestemming juist verkregen is. De toestemming dient vrij, specifiek, geïnformeerd en ondubbelzinnig te zijn en moet blijken uit een actieve indicatie van akkoord.

5. Zorg voor toestemming van ouders in geval van kindergegevens

Zorg er voor dat u systemen heeft die de leeftijd van de betrokkenen kan nagaan en die in geval van kinderen onder de 16 jaar de ouder of voogd om toestemming kan vragen.

6. Maak een register van verwerkingsactiviteiten

Er dient een register van de verwerkingsactiviteiten bijgehouden te worden waarin staat welke gegevens op welke manier worden verwerkt (minstens in elektronische vorm).

7. Zorg er voor dat u aan de rechten van de betrokkenen kan voldoen

Ga na of uw met de huidige procedures aan de rechten van de betrokkenen kan voldoen, zoals inzage, correctie en verwijdering van persoonsgegevens en het meenemen van de persoonsgegevens.

8. Zorg voor een goede Privacyverklaring

Evalueer uw huidige privacyverklaring. In begrijpelijke taal dient u onder andere te vermelden met welk doel gegevens worden verwerkt, hoe lang dit gedaan wordt en via de contactpersoon hiervoor is.

9. Voer een Privacy Impact Assessment (PIA) uit

Met een PIA worden vooraf (bijvoorbeeld voor aanvang van een project) de privacy risico’s van een gegevensverwerking in kaart gebracht. Afhankelijk van het resultaat kunnen de nodige maatregelen genomen worden om de risico’s te verkleinen.

10. Pas privacy by design & privacy by default toe

Privacy by design houdt in dat u bij het ontwerpen van producten en diensten er voor zorgt dat persoonsgegevens goed beschermd worden. Bij privacy by default zorgt u er voor dat u alleen de persoonsgegevens verwerkt die noodzakelijk zijn voor de verwerking. Ga dit bij uw bestaande processen na.

11. Maak procedures voor het geval van een datalek

Zorg dat u procedures klaar hebt staan voor het geval u te maken heeft met een datalek en dat u, indien nodig, snel melding kunt maken bij de Autoriteit Persoonsgegevens en bij de betrokkenen.

12. Zorg voor rapportage inzicht

Om compliant te zijn wilt u inzicht in wie waar toegang toe heeft en zorg er met rapportages voor dat u een datalek snel kan herkennen.

13. Beveilig uw data

De AVG eist dat u passende technische en organisatorische maatregelen neemt om de persoonsgegevens te verwerken. Is de informatie bij u veilig?

14. Zorg voor verwerkersovereenkomsten

Beoordeel uw huidige bewerkersovereenkomsten en check of deze voldoen aan de AVG vereisten. Werk deze indien nodig bij en bij het ontbreken ervan maakt u nieuwe aan.

15. Bepaal onder welke toezichthoudende autoriteit u valt

In het geval u werkt voor een internationale organisatie moet u bepalen onder welke toezichthoudende autoriteit u valt.

Deze 15 stappen kunnen u verder helpen in de weg naar het voldoen aan de AVG. Niet elke bepaling uit de AVG zal evenveel impact op uw organisatie hebben. Ga na wat voor uw organisatie van belang is en waar als eerste aan gewerkt moet worden. Vergeet naast nieuwe processen ook vooral de huidige processen niet onder de loep te nemen.

Heeft u vragen, wilt u meer informatie of hulp bij het beschermen van uw bedrijfsdata? Neem dan gerust contact met mij op!

Checklist

Tot slot nog een korte checklist met een aantal belangrijke punten als reminder:

  • Gebruik alleen persoonsgegevens voor een specifiek gedefinieerd doel, en gebruik deze gegevens later niet voor een ander doel.
  • Verwerk alleen gegevens die noodzakelijk zijn voor de vastgestelde doelen.
  • Zorg dat u een rechtmatige grondslag voor de verwerking van persoonsgegevens heeft.
  • Zorg dat u inzicht heeft welke persoonsgegevens u waar, hoe en met welk doel verwerkt.
  • Zorg voor de juistheid van de persoonsgegevens.
  • Neem passende maatregelen om de persoonsgegevens te beveiligen.
  • Informeer de betrokkenen over het feit dat u persoonsgegevens van hen verwerkt.
  • Zorg dat u tijdig in kan gaan op verzoek inzage gegevens van de betrokkene.
  • Zorg dat de betrokkenen de mogelijkheid heeft om zijn gegevens te wijzigen, te verwijderen of mee te nemen naar een andere partij.
  • Beveilig de persoonsgegevens.

Karin van der Meer is information security analyst bij IonIT

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *