|
Bij de invoering van de Algemene Verordening Gegevensbescherming (AVG) in het voorjaar van 2018 moest je bedrijf er helemaal klaar voor zijn. De nieuwe privacywetgeving verplicht je immers om de persoonsgegevens die binnen je organisatie aanwezig zijn, beter te beschermen. Daarom ben ook jij aan de slag gegaan met privacyverklaringen, verwerkersovereenkomsten en het opstellen van procedures.
Nu de AVG bijna een jaar van kracht is, rijst echter de vraag: heeft jouw organisatie de AVG wel op de juiste manier toegepast?
De checklist van Bol Adviseurs
Veel ondernemers die wij spreken, blijken de AVG niet volledig of onjuist geïmplementeerd te hebben. In vrijwel alle gevallen zijn zij echter wel in de veronderstelling, dat zij alle richtlijnen goed hebben opgevolgd. Daardoor denken zij dat hun bedrijf AVG compliance is, terwijl dit niet het geval is.
Ervan uitgaan dat je bedrijf voldoet aan de eisen van de AVG terwijl dit in werkelijkheid niet zo is, is uiteraard een onwenselijke situatie. Het geeft je een vals gevoel van veiligheid, maar nog erger is dat je onderneming nog steeds privacyrisico’s loopt. Met onderstaande checklist controleer je of jij de 7 basisonderdelen van de AVG wel op orde hebt!
1. Heb je een privacybeleid opgesteld?
Een privacybeleid is verplicht onder de AVG. Het is een intern document. Hierin wordt vastgelegd hoe iedereen binnen je organisatie omgaat met persoonsgegevens. Denk bijvoorbeeld aan het beschrijven van taken en verantwoordelijkheden. Het privacybeleid kan gebruikt worden als input voor andere afspraken en procedures met betrekking tot privacy binnen je organisatie.
Tip: Check of jouw onderneming een privacybeleid heeft opgesteld. Afhankelijk van de organisatie kan dit een uitgebreid document zijn of slechts enkele A4-tjes. Onze specialisten kunnen je hierover adviseren.
2. Heb je een privacyverklaring op je website geplaatst?
Vanuit de AVG ben je verplicht om de bezoekers van je website te informeren over welke privacygevoelige informatie je van hen verzamelt en waarom je dit doet. Dit moet al wanneer de bezoekers de mogelijkheid hebben om op een blog te reageren of wanneer je gegevens wilt vastleggen in een klantenbestand.
Tip: Een privacyverklaring kun je online genereren. Pas deze vervolgens wel aan om het specifiek aan te laten sluiten op jouw onderneming. Denk daarnaast ook aan een cookiemelding.
3. Is een verwerkingsregister voor jouw bedrijf verplicht?
Of je verplicht bent een verwerkingsregister bij te houden, is afhankelijk van de omvang van je organisatie en van het type gegevens dat wordt verwerkt, maar in de praktijk is dit voor vrijwel iedere organisatie verplicht. Je hebt een verwerkingsregister nodig wanneer je bedrijf meer dan 250 medewerkers heeft, maar ook als:
- Je verwerkt op niet-incidentele basis de persoonsgegevens van medewerkers, klanten, cliënten en/of andere personen
- Je verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van deze personen
- Je verwerkt persoonsgegevens die behoren tot bijzondere persoonsgegevens (zoals een strafrechtelijk verleden, lidmaatschap van een vakbond etc.)
4. Heb je verwerkersovereenkomsten met leveranciers nodig?
Wanneer de verwerking van persoonsgegevens wordt uitbesteed aan een derde partij, heb je met dit bedrijf een verwerkersovereenkomst nodig. Hierin leg je afspraken vast met betrekking tot de bescherming van persoonsgegevens. Ook staat erin welke plichten de derde partij heeft ten aanzien van de gegevensverwerkingen die voor jou uitgevoerd worden.
Tip: Huur je regelmatig zzp’ers in? Dan kan het ook nodig zijn om een verwerkersovereenkomst af te sluiten.
5. Heb je procedures met betrekking tot de rechten van betrokkenen opgesteld?
De personen van wie je de persoonsgegevens bewaart, hebben het recht om in te zien welke gegevens dit zijn, wat je ermee doet en hoe lang je de informatie bewaart. Ook mogen zij je vragen om de gegevens te verwijderen. De Autoriteit Persoonsgegevens kan je vragen om aan te tonen welke procedures je hiervoor hebt opgesteld.
Tip: Om snel antwoord te kunnen geven op vragen rondom het bewaren van persoonsgegevens, kun je een apart e-mailadres maken. Zo komen alle vragen op een centraal punt terecht.
6. Ben je verplicht om DPIA’s uit te voeren?
Als je verplicht bent om een Data Protection Impact Assessment (DPIA) uit te voeren, moet dit eerst gebeurd zijn voordat je begint met het verwerken van gegevens. In de AVG staat dat je een DPIA moet uitvoeren wanneer je:
- Uitgebreid en systematisch persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking (waaronder profiling) en daarop besluiten baseert die gevolgen hebben voor deze mensen
- Op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens verwerkt
- Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)
7. Heb je het privacyvraagstuk geïmplementeerd binnen je organisatie?
Alles is van A tot Z geregeld, maar uiteindelijk moet het hele privacyvraagstuk ook goed geïmplementeerd worden door je organisatie. Je moet ervoor zorgen dat alle medewerkers op de hoogte zijn van de nieuwe privacyregels en eventuele nieuwe bedrijfsprocessen.
Wanneer je hierbij tegen problemen aanloopt, zijn onze AVG-specialisten er om jou te helpen. Zij adviseren je over de privacy wetgeving en weten alles over je het GDPR compliance maken van je onderneming. Op die manier is de AVG ook in 2019 bij jou goed geregeld!
Voldoet jouw bedrijf al aan de AVG?
Wil je weten of jouw bedrijf risico's loopt omtrent de AVG? Vul de gratis AVG Risico Scan in en zie hoe privacy proof jouw organisatie is.
%20zakelijk/Thijs%20Peeters%20-%20LR%20-%20Zakelijk.jpg?width=200&name=Thijs%20Peeters%20-%20LR%20-%20Zakelijk.jpg)
