Deel 5 Algemene verordening gegevensbescherming - 10 concrete stappen
Het verwerken van persoonsgegevens. Een functionaris voor gegevensbescherming. De beveiliging van persoonsgegeven. In de afgelopen vier bijdragen kwamen wat hoofdlijnen uit de Algemene verordening gegevensbescherming (AVG) aan de orde. Je kunt er nog zoveel over schrijven, maar uiteindelijk moet uw organisatie hier iets mee doen.
Daarom in deze bijdrage 10 belangrijke en concrete stappen op een rij.
Stap 1 – bewustwording
Zorg dat uw bedrijf op de hoogte is van de nieuwe privacyregels en de gevolgen daarvan voor uw organisatie. Start tijdig met een inventarisatie.
Stap 2 – toestemming
Voor bepaalde soorten van gegevensverwerking is er nadrukkelijk toestemming nodig van de betrokkene. De eisen van toestemming worden strenger. Denk intern na hoe u toestemming vraagt en hoe u dat vastlegt. Op welke basis (grondslag) mag u persoonsgegevens verwerken?
Stap 3 – rechten van betrokkenen
Mensen van wie u persoonsgegevens verwerkt krijgen meer rechten. U verwerkt in ieder geval persoonsgegevens van uw werknemers. Zorg er voor dat zij als betrokkenen hun rechten kunnen uitoefenen.
Stap 4 – overzicht verwerkingen
Inventariseer welke gegevensverwerkingen u allemaal doet, voor welk doel en of ze worden gedeeld. Stel een register van verwerkingsactiviteiten op.
Stap 5 – privacy impact assessment
Zo’n assessment is niet voor iedereen verplicht. Maar check nu vast of je zo’n assessment moet uitvoeren. Het is altijd handig om te doen. Zo krijg je inzicht hoe het op dit moment met de gegevensverwerking is gesteld.
Stap 6 – verschil tussen privacy by design en privacy by default
Privacy by design betekent dat u al bij de voordeur zorgt dat persoonsgegevens goed worden beschermd. En dat je niet meer persoonsgegevens gaat verzamelen dan dat noodzakelijk is voor het doel. Privacy by default betekent dat je als organisatie ook technische maatregelen neemt om te zorgen dat je alleen de noodzakelijke persoonsgegevens verwerkt.
Stap 7 – functionaris voor gegevensbescherming
Check of uw organisatie verplicht is om een functionaris voor gegevensbescherming aan te stellen.
Stap 8 – meldplicht datalekken
De wetgeving over het melden van een datalek is al van kracht. Dat blijft ook zo als de AVG er is. Zorg dat er een stappenplan is hoe te handelen bij een (mogelijk) datalek.
Stap 9 – bewerkersovereenkomsten
Laat uw organisatie gegevens verwerken door een derde? Denk bijvoorbeeld aan de salarisadministratie die is uitbesteed. Leg dan contractueel vast dat die derde zich moet houden aan de verplichtingen rond gegevensbescherming.
Stap 10 – beveiliging
Controleer intern hoe het zit met de beveiliging van met name de ICT. De verwerking van persoonsgegevens gaat vaak via computersystemen en software.
Wilt u meer weten over de voorbereiding op de AVG? Kijk dan ook eens op deze site van de Autoriteit Persoonsgegevens. De tekst van de AVG kunt u hier lezen.