Goed voorbereid op de AVG/GDPR in slechts 10 stappen

Nog maar een paar maanden en dan is het zover. Vanaf 25 mei 2018 is er handhaving op de Algemene Verordening Gegevensbescherming (AVG) of in Engelse termen General Data Protection Regulation (GDPR). In principe was de regelgeving al in werking alleen werd er nog niet gehandhaafd. Met de AVG of GDPR geldt er dezelfde privacywetgeving voor de hele Europese Unie en zal gelden voor alle organisaties die werken met persoonsgegevens. Zo moeten dus ook kleine organisatie en ZZP'ers die gegevens verwerken, zoals gegevens van klanten of personeelsinformatie, voorbereid zijn op de AVG. Als u nog niet klaar bent voor de AVG, is het nu dus taak om u goed voor te bereiden op deze wetgeving. 

10 stappen naar de AVG/GDPR

Een aantal maanden geleden bleek uit peiling van de MKB Servicedesk onder 3200 bedrijven dat zes op de tien MKB bedrijven niet op de hoogte zijn van de AVG. Hoe zit dat nu? Bent u al goed voorbereid op de AVG/GDPR? Met behulp van de 10 stappen van Autoriteit Persoonsgegevens kunt u zich goed voorbereiden. We zetten ze kort voor u op een rij. 

Stap 1: Bewustwording

Laat iedereen binnen uw organisatie die te maken heeft met persoonsgegevens bewustworden van de Algemene Verordening Gegevensbescherming (AVG). Zorg er ook voor dat de beleidsmakers de impact van de AVG inschatten op uw bedrijfsprocessen, diensten en goederen. Vooral moeten organisaties inzien wat de gevolgen van het niet voldoen aan de AVG, zoals sancties van maximaal 20 miljoen of 4% omzet van de wereldwijde omzet. 

Voor iedere organisatie is het belangrijk om de noodzaak in te zien van de AVG en in te zien dat er aanpassingen gedaan moeten worden in het omgaan met persoonsgegevens. Houd er wel rekening mee dat dit veel tijd vergt van uw medewerkers en middelen en begin dus op tijd met de voorbereidingen. 

Stap 2: Rechten van betrokkenen

Mensen waarvan u de persoongegevens verwerkt, krijgen meer en verbeterde privacyrechten, denk aan recht op inzage en recht op correctie en verwijdering.

De taak aan u om op de verzoeken op tijd en op de juiste manier op te reageren. Onder de AVG is er nieuw recht, dat heet recht op dataportabiliteit. Dit houdt in dat betrokkenen makkelijk hun gegevens kunnen krijgen en delen met andere organisaties. Mensen kunnen bij het onverantwoord omgaan met hun persoonsgegevens een klacht indienen bij de AP. 

Stap 3: Overzicht verwerkingen

Documentatie is een belangrijk aspect in de AVG. Onder de AVG heeft u een verandwoordingplicht en moet u aan kunnen tonen welke persoonsgegevens u verwerkt, met welk doel, waar de gegevens vandaan komen en met wie u ze deelt. 

Deelt u gegevens met een andere organisatie? Dan moet u bij correctie of verwijdering dit doorgeven aan die andere organisatie, want u bent op dat moment de verantwoordelijke voor de gegevens.  

Niet nieuw in de AVG, maar wel belangrijk om te weten is de bepaling van de wettelijke grondslag waarop u de gegevens verwerkt. Bijvoorbeeld op gerechtvaardigd belang of vraag u toestemming?

Ideaal voor de verwerking van persoonsgegevens is een document management systeem (DMS). Hiermee bent u op het gebied van documentverwerking goed voorbereid op de AVG. Lees alles over DMS in ons gratis e-book.

Stap 4: Data protection impact assessment

Data protection impact assessment (DPIA) is een instrument om vooraf de privacyrisico's van gegevensverwerking in kaart te brengen om zo risico's te verkleinen. Als uw beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt, kunt u onder de AVG verplicht zijn om dit uit te voeren. 

Overleg met de AP in het geval van een hoog privacyrisico van uw gegevensverwerking en uw maatregelen het risico niet verkleinen, voordat u start met de verwerking. De AP beoordeelt dan of het in strijd in met AVG. Zo ja, ontvangt u een schriftelijk advies.  

New Call-to-action

Stap 5: Privacy by design & privacy by default

Wees bij het ontwerpen van producten of diensten voorbereid op de privacy by design om ervoor te zorgen dat persoonsgegevens goed worden beschermd. Ook moet u technische en organisatorische maatregelen nemen om alleen strikt noodzakelijk persoongegevens te verwerken, het zogeten privacy by default.  

Stap 6: Functionaris voor de gegevensbescherming

Onder de AVG kan het verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te nemen. Dit geldt voor:

  • Overheden en publieke organisaties
  • Organisaties die op grote schaal individuen volgen
  • Organisatie die bijzondere persoonsgegevens verwerken

Bepaal alvast of u een FG moet aannemen. Hier leest u er meer over. 

Ontdek de online training DIEV en de tweedaagse klassikale training tot Privacy Officer. Lees verder >>

Stap 7: Meldplicht datalekken

Niet nieuw in AVG, maar wel belangrijk om te weten is de meldplicht datalekken. Hier worden strengere eisen gesteld aan uw eigen registratie van de datalekken. Zo moeten alle datalekken worden gedocumenteerd om de Autoriteit Persoonsgegevens (AP) te tonen dat u aan de meldplicht voldoet.  

Stap 8: Bewerkersovereenkomsten

Besteed u de gegevensverwerking uit aan een bewerker, zoals bijvoorbeeld een administratiekantoor? Check of de overeenkomsten met deze partijen nog toereikend zijn en voldoen aan de AVG. Zo niet, breng noodzakelijke wijzigingen aan.

Stap 9: Leidende toezichthouder

Onder de AVG geldt nog maar één privacy toezichthouder, de leidende toezichthouder. Dit geldt in het geval u nog meer vestigingen heeft in meerdere EU-lidstaten. De hoofdregel hierin is dat de toezichthouder van de EU-lidstaat, waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is. 

Stap 10: Toestemming

De manier van toestemming vragen, krijgen en registreren is gewenst in de AVG en de eisen hiervoor zijn strenger. Pas hiervoor eventueel de wijze aan. Nieuw in de AVG is dat u moet aantonen dat u geldige toestemming van betrokkenen krijgt om gegevens te verwerken en net makkelijk hun toestemming in kunnen of gegevens aan kunnen passen. 

Conclusie

Voor de AVG is nog niet iedereen goed voorbereid op wat er komen gaat. Zo is er dus voor veel organisaties nog werk aan de winkel. De 10 stappen moeten helpen met de voorbereiding op de AVG. Problemen met het verwerking van documenten? Een document management systeem (DMS) helpt met een goede voorbereiding op de AVG op het gebied van documentverwerking. Documentverwerking wordt dan ook gezien als één van de belangrijke aspecten van de AVG. Wat een DMS nog meer allemaal voor uw organisatie kan betekenen, leest u hier.  

Wilt u weten wat de kosten zijn van een DMS systeem? Bereken heel eenvoudig de ROI van een DMS met onze handige tool in ons gratis e-book.