Welke zaken moeten zijn geregeld wil een organisatie voldoen aan de AVG / privacy wetgeving (checklist)?
Een organisatie voldoet aan de AVG / privacy-wetgeving als de volgende vragen afdoende zijn beantwoord:
- Informatie - Elke ondernemer, bestuurder of manager moet op de hoogte zijn van de nieuwe privacyregels. Maar ook de werknemers moeten kunnen inschatten wat het effec van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen eventueel nodig zijn. Er staan namelijk hoge boetes op overtredingen;
- Uitoefening rechten - Iedereen van wie u persoonsgegevens verwerkt, krijgt onder de AVG meer en verbeterde privacyrechten. Elke organisatie moet er daarom voor zorgen dat betrokkenen hun privacyrechten goed kunnen uitoefenen, zoals het recht op inzage en dataportabiliteit. Bij klachten van betrokkenen is de Autoriteit Persoonsgegevens verplicht om te handelen;
- Documentatieplicht - Als beleidsbepaler moet u ervoor zorgen dat alle gegevensverwerkingen binnen uw organisatie in kaart worden gebracht. Laat documenteren welke persoonsgegevens u verwerkt, met welk doel u dit doet, waar de gegevens vandaan komen en met wie u ze deelt. U heeft onder de AVG een documentatieplicht. Hiermee geeft u aan dat uw organisatie in overeenstemming is met de AVG;
- Uitvoering Data Privacy Impact Assessment (DPIA) - U moet een PIA laten uitvoeren als uw beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt. Een PIA is een instrument om vooraf de privacyrisico’s van een gegevensverweking in kaart te brengen. Vervolgens neemt u maatregelen om de risico’s te verkleinen;
- Implementatie privacy by design/default - Let erop dat de verplichte uitgangspunten van privacy by design en privacy by default worden geïmplementeerd: Privacy by design: bij nieuwe opdrachten en diensten zorgt u voor een goede bescherming van de persoonsgegevens. Privacy by default: neem maatregelen zodat u alleen de persoonsgegevens verwerkt die noodzakelijk zijn;
- Functionaris voor de gegevensbescherming - Onder de AVG moeten alle overheidsinstellingen en instanties met (semi-)publieke taken, organisaties die op grote schaal betrokkenen observeren en alle organisaties die structureel bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens verwerken, verplicht een functionaris gegevensbescherming (FG) aanstellen. Dat is een interne onafhankelijke adviseur en toezichthouder die betrokken moet worden bij alle beleidsvraagstukken;
- Eisen voor registratie van data - De AVG stelt strenge eisen aan uw eigen registratie van de datalekken die zich bij uw organisatie hebben voorgedaan. U moet alle datalekken documenteren en die meldplicht gaat verder dan de protocolplicht van de Wbp. Ook moet uw organisatie aan kunnen tonen dat er voldoende en relevante beveiligingsmaatregelen genomen zijn;
- Verwerkersovereenkomsten - Uitbesteden brengt ook verplichtingen met zich mee. Heeft u uw gegevensverwerking uitbesteed aan een andere partij (in de AVG benoemd als 'verwerker'), dan moet u beoordelen of de overeengekomen maatregelen in bestaande contracten met deze partij voldoen aan de vereisten in de AVG;
- Privacytoezichthouder - Heeft uw organisatie vestigingen in meerdere EU-lidstaten of hebben uw gegevensverwerkingen in meerdere lidstaten impact, dan hoeft u onder de AVG maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder uw organisatie valt;
- Geldige toestemming voor het verwerken van persoonsgegevens - U moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken en dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.