Stappenplan AVG

Beginselen voor rechtmatige verwerking

Het is verstandig om allereerst goed te kijken naar de persoonsgegevens (gewoon, bijzonder of strafrechtelijk) die je als bedrijf verzamelt en verwerkt. Alle gegevens die betrekking hebben op, of te herleiden zijn naar een natuurlijk persoon (direct en indirect) vallen onder de noemer persoonsgegevens. Je mag als bedrijf alleen persoonsgegevens verwerken als je een ‘grondslag’ hebt. Er zijn zes grondslagen: je hebt expliciet toestemming gekregen van betrokkene voor het verwerken van de gegevens of het is een uitvloeisel van een contract/overeenkomst of je bent het als bedrijf wettelijk verplicht of er bestaat een algemeen-, vitaal- of een gerechtvaardigd belang. Als je gegevens verzamelt omdat je expliciet toestemming hebt verkregen moet je dit achteraf aan kunnen tonen. Een zorgvuldige vastlegging is dus noodzakelijk.

Het is belangrijk om een ‘goede huisvader’ te zijn voor de persoonsgegevens die je verwerkt. Ze moeten beschermd zijn tegen verlies of inbreuk, niet langer bewaard worden dan noodzakelijk en je mag niet méér gegevens verzamelen dan benodigd is voor het doel.

1. Bewustwording

Breng de mogelijke impact / gevolgen in kaart voor de organisatie.

Actie: Maak iemand verantwoordelijk voor de implementatie en waarborging van de AVG. Zorg dat je klanten en medewerkers weten bij wie ze terecht kunnen over privacy vragen.

2. Rechten van betrokkenen

Privacy rechten: dataportabiliteit, vergetelheid, inzage, rectificatie, beperking.

Actie: Breng in kaart hoe de gegevens van betrokkenen worden gearchiveerd, hoe deze kunnen worden verwijderd of hoe deze kunnen worden overgedragen. Denk hierbij ook aan de back-up’s die er van de systemen worden gemaakt.

Informatieplicht: mensen hebben recht op duidelijke informatie over wat er met hun persoonsgegevens gebeurt. Handel verzoeken van betrokkenen binnen één maand en in begrijpelijke vorm af.

Actie: Maak iemand binnen de organisatie verantwoordelijk voor de verzameling en afhandeling van de verzoeken.

3. Register van verwerkingen

Kleinere bedrijven moeten een register van verwerkingsactiviteiten opstellen als zij persoonsgegevens op structurele basis verwerken. Een verwerking is al snel structureel.

Dit register is één van de verantwoordigingsverplichtingen. Het overzicht brengt in beeld wat je verwerkt en hoe je dat vorm geeft. Je legt hier tevens in vast of de gegevens binnen of buiten de EU worden verwerkt. Let op waar de gegevens worden bewaard als je bijvoorbeeld in de cloud werkt. Indien gegevens buiten de EU worden verwerkt dien je na te gaan of dit land een passend beschermingsniveau waarborgt.

Ezelsbrug: Doe ik het voor mezelf? Dan ben je meestal verantwoordelijke. Doe ik het voor een ander? Dan ben je meestal verwerker

Actie: Inventariseer welke gegevens er stromen door de onderneming. Verdeel deze onder naar rol van verantwoordelijke of verwerker. Vul het register in voor de onderneming en houdt het register actueel.

4. Gegevensbeschermingseffectbeoordeling (DPIA)

Deze stap is alleen verplicht als er verwerkingen plaatsvinden met een hoog privacy risico. Te denken aan:

• Systematisch en uitvoerig persoonlijke aspecten evalueren, waaronder profilering;
• Op grote schaal bijzondere persoonsgegevens (etnische afkomst, politieke opvattingen, religie, lidmaatschap van een vakbond, gezondheid, genetische gegevens, etc.) verwerkt;
• Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied.

In het MKB is dit doorgaans niet van toepassing.

Actie: Leg vast dat je als onderneming hebt overwogen en vastgesteld dat je niet te maken hebt met gegevensverwerkingen die een hoog risico opleveren voor de betrokkene.

5. Privacy bij default & design

Zorg dat informatiesystemen die zelf zijn ontwikkeld zo min mogelijk inbreuk maken op de privacy. Zorg dat de standaardkeuzes die betrokkene hebben de minste impact hebben. Bijvoorbeeld als een consument iets koopt op de website staat het aanmelden voor de nieuwsbrief standaard uit. Zorg ervoor dat je alleen persoonsgegevens verwerkt die strikt noodzakelijk zijn, je deze niet te lang bewaart en de toegang tot deze gegevens zoveel mogelijk beperkt.

Actie: Leg vast hoe persoonsgegevens worden bewaard, wie er toegang toe heeft en hoelang de gegevens worden bewaard.

6.De functionaris voor gegevensbescherming (FG)

Net zoals punt 4 speelt dit waarschijnlijk niet bij MKB ondernemingen.

Actie: Leg vast dat je hebt overwogen en vastgesteld dat je niet op grote schaal en als kernactiviteit bijzondere persoonsgegevens verwerkt of openbare ruimten monitort.

7. Datalekken

Het is van wezenlijk belang dat het bedrijf goed op de hoogte is van de AVG. Hierdoor kun je goed herkennen of er zich situaties voordoen die een risico vormen voor de bescherming van de persoonsgegevens. Of als er sprake is van een inbreuk (beter bekend als datalek). Van alle datalekken dient je een register te documenteren als verantwoordingsverplichting. Denk bij een datalek ook aan het verlies van een telefoon of een gestolen laptop. Evalueer het informatiebeveiligingsniveau binnen de onderneming.

Actie: Leg vast hoe de gegevens binnen de organisatie digitaal beveiligd zijn (te denken aan encryptie van de laptop, wachtwoord procedures, toekennen van rechten, tweetraps verificatie, back-up procedures, etc. )

Actie: Maak iemand verantwoordelijk voor het handelen bij een datalek. Melding dient namelijk te gebeuren binnen 72 uur.

Actie: Zorg dat er een logboek is voor het bijhouden van datalekken.

8. Verwerkersovereenkomst

Als je derde partijen inschakelt om de verwerkingen voor je uit te voeren dan ben je genoodzaakt om daar afspraken mee te maken. Hierin leggen de verwerker en jij schriftelijk vast hoe er wordt omgegaan met privacy aspecten van de verwerkte gegevens. Onder verwerken wordt bijvoorbeeld verstaan: het bewaren, raadplegen, wijzigen, opvragen, vastleggen en combineren van gegevens. Denk hierbij bijvoorbeeld ook aan je IT-leverancier.

Actie: Sluit met partijen (leveranciers) een verwerkersovereenkomst af en zorg dat deze overeenkomsten inhoudelijk zijn beoordeeld.

9. Een leidende toezichthouder

De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvesting van de onderneming is gevestigd, de leidende toezichthouder is.

Actie: Leg vast dat er geen andere vestigingen zijn binnen de EU.

10. Toestemming

Op basis van het register van verwerkingen is duidelijk welke verwerkingen op toestemming zijn gebaseerd. Bij verwerkingen die zijn gebaseerd op toestemming kan je aantonen dat de toestemming ook daadwerkelijk is verkregen.

Actie: Beoordeel of voor alle verwerkingen ook daadwerkelijk toestemming is verkregen. Denk hierbij bijvoorbeeld ook aan het verzenden van nieuwsbrieven aan relaties.

De AVG en de website

De kans is groot dat op de website van de onderneming ook persoonsgegevens verwerkt worden. Dit is bijvoorbeeld als de website over een contactformulier beschikt of met cookies werkt. Ook op de website moet je maatregelen treffen en heldere informatie verschaffen. Dit kan bijvoorbeeld in de vorm van een privacy verklaring. Let bij de website ook op de standaardinstellingen. Deze dienen zodanig te zijn ingesteld, dat ze standaard de minste impact hebben op de privacy van betrokkenen. Daarnaast dient de website passende bescherming te hebben (o.a. https). Bespreek dit met degene die de website heeft gebouwd en laat schriftelijk vastleggen dat de website aan de vereisten voldoet.

Actie: Breng in kaart of de website aan de privacy vereisten voldoet. Denk hierbij ook aan de instellingen van Google analytics. Let op: sluit met de het bedrijf dat de website host een verwerkersovereenkomst af!