De AVG in zes stappen

Het zal weinigen zijn ontgaan dat vanaf 25 mei 2018 de Algemene Verordering Gegevensbescherming van toepassing zal zijn. Deze vervangt de Wet bescherming persoonsgegevens die we nu (nog) hebben in Nederland. Vanaf 25 mei gelden dezelfde privacyregels in de hele EU. Over de inhoud van de wet is online veel informatie te vinden.

Ondernemingen moeten de AVG doorvoeren in hun dagelijkse werkzaamheden. Dit is geen gemakkelijke taak. Dialogic helpt je alvast op weg door de belangrijkste punten op een rijtje te zetten.

 

1_ Wees je bewust van de rechten van betrokkenen

Betrokkenen van wie je persoonsgegevens verwerkt, hebben onder de AVG meer privacyrechten. Zo hebben betrokkenen onder meer het recht om ‘vergeten’ te worden en het recht om hun gegevens te laten overdragen. Krijg je een dergelijk verzoek, dan ben je verplicht hier gehoor aan te geven. Houd er rekening mee dat betrokkenen een klacht kunnen indienen bij de Autoriteit Persoonsgegevens. Zij zijn vervolgens verplicht deze klacht in behandeling te nemen. Dit kan er toe leiden dat je onderneming een boete krijgt opgelegd.

2_ Privacy by design en privacy by default

Bedenk vooraf hoe je alleen noodzakelijke persoonsgegevens verwerkt en hoe deze beschermd en beheerd moeten worden. Zorg er bijvoorbeeld voor dat er bij een webformulier niet automatisch reeds staat aangevinkt dat iemand zich aanmeldt voor de nieuwsbrief. Vraag in formulieren ook niet méér informatie dan nodig; vraag in een app bijvoorbeeld niet om een locatie, als dat niet nodig is.

3_ Houd overzicht

Maak inzichtelijk wat er binnen je onderneming gebeurt met persoonsgegevens en voor welk doel de gegevens verwerkt worden. Bij het verwerken van persoonsgegevens is het in de meeste gevallen vereist een verwerkingsregister bij te houden.

4_ Voer mogelijk een data protection impact assessment uit

Het kan zijn dat de door jou beoogde gegevensverwerking een hoog privacy-risico met zich meebrengt. In dat geval kun je een data protection impact assessment (DPIA) uitvoeren.

5_ Richt een proces in voor het melden van datalekken

Onder de AVG gelden strengere eisen wat betreft het melden van datalekken. Elke datalek moet worden gedocumenteerd en betrokkenen moeten zo snel mogelijk op de hoogte worden gesteld. De richtlijnen (pdf) rondom datalekken zijn nog niet definitief.

6_ Stel een verwerkersovereenkomst op

Werkt je bedrijf samen met een andere partij die de gegevens voor jou verwerkt? Stel dan een verwerkersovereenkomst op. Hierin is vastgelegd hoe de verantwoordelijkheid is verdeeld ten aanzien van de verwerking van de persoonsgegevens.

 

Meer weten? Lees het artikel van de Autoriteit Persoonsgegevens (pdf).

 

Disclaimer

Deze informatie geeft een beknopte weergave van wat de AVG inhoudt en kan niet worden gezien als een (juridisch) advies. Wij raden je aan om juridische hulp in te schakelen om na te laten gaan of je onderneming op de juiste wijze omgaat met persoonsgegevens.