Verwerkt uw organisatie persoonsgegevens? Dan moet u sinds 25 mei 2018 voldoen aan de Algemene Verordening Gegevensbescherming (AVG). De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacyrechten en hun bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen.
De nadruk ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. Hoe voldoet u aan die wet en voorkomt u een boete van de Autoriteit Persoonsgegevens? Wij hebben voor u een stappenplan gemaakt zodat uw organisatie gereed raakt.
Zorg voor een overzicht van de persoonsgegevens die u verwerkt en vermeld daarbij met welk doel u dat doet. Zo’n overzicht kan verplicht zijn.
Ga na welke persoonsgegevens u mag verwerken en op grond waarvan. Bijvoorbeeld een overeenkomst, een wettelijke verplichting of toestemming van betrokkenen. Leg deze grondslag schriftelijk vast in een register.
Zorg dat uw medewerkers op de hoogte zijn van de privacywetgeving. Zij moeten weten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
Bescherm ieders privacy zo optimaal mogelijk en verwerk alleen die persoonsgegevens die nodig zijn.
Maak afspraken met afnemers en leveranciers over de uitwisseling van persoonsgegevens en leg die afspraken vast in zogenaamde verwerkersovereenkomsten.
Stel iemand verantwoordelijk voor de bescherming van persoonsgegevens. Onder de AVG kunnen organisaties ook verplicht zijn om een functionaris van gegevensverwerking (FG) aan te stellen.
Analyseer het risico dat gegevens bij u niet veilig zijn en zorg voor passende beveiliging. Ga na of u gegevens verwerkt met een hoog risico, zoals over gezondheid. Die vragen om extra beveiliging.
Betrokkenen hebben extra privacyrechten gekregen, zoals het recht op vergetelheid, recht op inzage en recht op correctie. Zorg dat u daarvoor procedures heeft.
Maak een protocol voor het tijdig melden van datalekken en documenteer alle datalekken. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.
Gaat u nieuwe gegevens verwerken? Voer dan altijd eerst een privacy impactanalyse uit.
Weet u precies welke gegevens u van personen bewaart in uw bedrijf? Heeft u met uw afnemers en leveranciers afgesproken wat u precies met hun gegevens doet? En duidelijk uitgelegd hoe zij gegevens kunnen inzien of laten verwijderen? Heeft u goed gedocumenteerd hoe u de gegevens beveiligt? Lees hier meer over onze dienstverlening op dit gebied.
Wilt u meer weten over de AVG of kunnen wij u helpen om aan de nieuwe wetgeving te voldoen? Neem dan contact op met ons cyber security team.