Nog 3 weken: AVG

Over 3 weken, op 25 mei gaat de nieuwe privacywet AVG in. Je hebt dus nog drie weken om je bedrijf ‘AVG-proof’ te maken. Maak dus even tijd om je in te lezen in de AVG.

AVG-proof

Tja die Algemene verordening gegevensbescherming. Overal hoor je de mensen erover. Ben je al klaar voor de AVG? Wil je uitgebreide informatie over de AVG, lees het artikel Ben jij al klaar voor de AVG?

AVG-checklist

Voor de volledigheid heeft de Autoriteit Persoonsgegevens een stappenplan opgesteld met wat je moet doen.

1. Zorg dat je op de hoogte bent

Werk je met meerdere mensen, of heb je personeel? Zorg dat iedereen weet wat de AVG inhoudt en wat jullie bedrijf eraan doet.

2. Check de rechten van je klanten

In de nieuwe wet krijgen je klanten (en eventueel anderen waar je persoonsgegevens van verwerkt of opslaat) nieuwe rechten. Als iemand bijvoorbeeld zijn of haar gegevens wil inzien, dan moet jij die geven. Ook is er het recht op verwijdering, waarbij een klant mag vragen of jij de gegevens verwijdert.

3. Check welke gegevens jij gebruikt

Welke gegevens verwerk jij van je klanten? Zijn dat bijvoorbeeld adresgegevens, geboortedatum of een foto van je klanten? In de AVG ben je verplicht om in een document bij te houden waarin staat welke gegevens jij verwerkt.

4. Hoog risico?

Check voor jezelf of je hoge privacyrisico's loopt. Je loopt hoge risico's als je heel veel persoonsgegevens, of specifieke gegevens, bijvoorbeeld camerabeelden van mensen, verwerkt. In dat geval moet je een gegevensbeschermingseffectbeoordeling doen, ook wel data protection impact assessment (DPIA). Dit is een soort check die je zelf kunt doen, of door een expert laat doen.

5. Nieuwe producten?

Ben je bezig met nieuwe producten of diensten? Hou dan vooraf al rekening met de nieuwe privacyregels. Zorg dat als je bijvoorbeeld een app aan het designen bent, dat je bedenkt welke gegevens je gaat verwerken en welke ook zeker niet.

Daarnaast moet je bedenken of je alle persoonsgegevens die je vraagt ook echt nodig hebt. Stel, je stuurt nieuwsbrieven naar je klanten, dan is het logisch dat je het e-mailadres vraagt. Maar je hoeft dan niet te weten wat de leeftijd, geslacht of woonplaats van diegene is. Vraag dat dan ook niet.

6. Functionaris

Voor sommige organisaties is het verplicht om iemand aan te wijzen als functionaris voor de gegevensverwerking (FG). Check even of dat voor jouw bedrijf geldt. Anders kun je dit gewoon overslaan.

7. Datalek

Heb je een datalek in je systeem, dan moet je dit goed bijhouden in een document. Als je een ernstig datalek hebt, moet je dit daarnaast melden bij de Autoriteit Persoonsgegevens.

8. Verwerkers

Heb jij gegevens van klanten die andere partijen weer voor jou verwerken? Dan moet je met die partijen weer aparte verwerkingsovereenkomsten afsluiten. Daarin moet je onder andere duidelijk vastleggen welke gegevens er worden verwerkt, waarom en hoe lang.

9. Andere EU-landen

Als je vestigingen in andere EU-landen hebt, of in andere landen zaken doet, kun je te maken krijgen met verschillende toezichthouders. Met de nieuwe AVG hoef je je maar in één land te melden bij de Autoriteit Persoonsgegevens. Dit mag dus ook bijvoorbeeld de Autoriteit Persoonsgegevens van België zijn (die trouwens Commissie voor de bescherming van de persoonlijke levenssfeer, CBPL, heet), als je daar een vestiging hebt.

10. Toestemming gegevens verwerken

Je moet in de nieuwe AVG duidelijk kunnen aantonen dat je toestemming hebt gekregen om gegevens te bewaren en te verwerken. Daarnaast moet een klant deze toestemming ook weer gemakkelijk kunnen intrekken als hij of zij dat wil.

Succes met het AVG-proof maken van je bedrijf. Kom je er niet uit, bekijk de website van de Autoriteit Persoonsgegevens, die kan je in veel gevallen verder helpen.

Terug naar overzicht