Nog even en het is zover: vanaf vrijdag 25 mei 2018 moet iedereen die persoonsgegevens verzameld voldoen aan de Algemene verordening gegevensbescherming (AVG). We nemen dan definitief afscheid van de oude Wet bescherming persoonsgegevens (Wbp) en stappen in de hele Europese Unie (EU) over op de nieuwe Europese privacyverordening.

Aan de hand van onderstaande checklist laten we in vogelvlucht zien wat de verplichtingen globaal inhouden en wat je eind mei dus allemaal moet hebben weggestreept om AVG-proof te zijn!

Persoonsgegevens
Centraal in de AVG staat het verzamelen van persoonsgegevens. De vraag daarbij is welke gegevens je precies gebruikt en bewaart, met welk doel je deze opslaat, waar en hoe ze staan opgeslagen en met wie u ze deelt?  Dat alles moet je bij aanvang goed inventariseren. Bijzondere persoonsgegevens (bijvoorbeeld over gezondheid), zijn extra privacygevoelig en daarvoor gelden dan ook weer extra voorwaarden.

De grondslag

Het verwerking van persoonsgegevens mag alleen als daarvoor ondubbelzinnige toestemming door (alle) betrokkenen is verleend. Breng de betrokkenen dus op de hoogte en vraag toestemming en wijs hen daarbij direct op hun rechten:

  • Recht op inzage; mensen hebben het recht de vastgelegde persoonsgegevens indien gewenst in te zien.
  • Recht op rectificatie en aanvulling; men heeft het recht de gegevens te wijzigen.
  • Recht op vergetelheid; het recht om de gegevens te laten verwijderen. Tevens is het je plicht de persoonsgegevens te verwijderen als je deze niet meer worden gebruikt voor het oorspronkelijke doel van bewaren.
  • Recht op dataportabiliteit; het recht om de gegevens desgewenst over te dragen.
  • Recht op beperking; het recht minder gegevens te laten verwerken.
  • Recht van bezwaar; het recht bezwaar te maken tegen de verwerking van de gegevens.

Allemaal rechten dus waaraan je, indien daar een beroep op wordt gedaan, moet kunnen voldoen.

Doelbinding

De absolute kern van de Algemene verordening gegevensbescherming is het bepalen van het doel om de gegevens te verzamelen en bewaren. De persoonsgegevens mogen namelijk alleen verwerkt worden voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dus niet alle redenen zijn altijd voldoende. Ook mag je niet meer persoonsgegevens vragen dan voor het beschreven doel strikt noodzakelijk is.

Privacy policy

Iedere organisatie moet een verklaring opstellen over het verzamelen van de persoonlijke gegevens van klanten, leveranciers en andere relaties met een beschrijving welke gegevens worden verzameld, met welk doel en hoe ze worden beschermd? Deze privacy policy kun je bijvoorbeeld publiceren op de bedrijfswebsite. Om te voldoet aan de eisen van de AVG, moet een privacyverklaring onder andere de volgende zaken bevatten:

  • De bedrijfsgegevens;
  • Welke persoonsgegevens worden verzameld en met welk doel;
  • Beschrijving van het recht van toestemming, op inzage, aanpassing en verwijdering;
  • Beschrijving van de beveiligingen die zijn toegepast;

Verwerkersovereenkomst

Als er externe partijen zijn die de verzamelde persoonsgegevens gebruiken, denk bijvoorbeeld aan een marketingbureau, softwareleveranciers, je (salaris)administratiekantoor of je SEO bureau, dan moet hiermee een zogenoemde verwerkersovereenkomst worden afgesloten. Daarin leg je precies vast welke afspraken zijn gemaakt over de bescherming van persoonsgegevens en welke van beide partijen verantwoordelijk is voor welke zaken.

Beveiliging

De AVG eist dat we de persoonsgegevens permanent beschermen. Is dat niet geval, dan kunnen hoge boetes opgelegd worden. Dus is de toegang tot de verzamelde gegevens goed beveiligd om inbreuk te voorkomen? Bewaar je informatie op papier, doe dit dan zodanig dat wordt voldaan een de eisen van de wet. Zorg er daarbij bijvoorbeeld voor dat alleen bevoegde medewerkers toegang hebben, waarbij je achteraf goed kunt nagegaan wie, wanneer en welke gegevens heeft ingezien. En is er nagedacht over autorisatie en is dit goed vastgelegd? Denk bij elektronische vastlegging aan twee-factor-authenticatie om te voorkomen dat onbevoegden inloggegevens van medewerkers achterhalen. Het grote voordeel daarbij is dat er om in te loggen naast gebruikersnaam en wachtwoord een stukje informatie nodig is die enkel en alleen de gebruiker heeft. Wel zo veilig dus!

En wat als er eventueel straks sprake is van een datalek? Een foutje is zo gemaakt, dus zorg dat er een plan ligt voor het geval bepaalde gegevens onverhoopt op straat komen te liggen. En bedenk daarbij goed dat je als verantwoordelijke een meldplicht bij het Meldloket datalekken AP hebt als er sprake is van datalekken.

Nog iets dat niet over het hoofd mag worden gezien: de gebruikte software en de antivirussoftware. Deze moet altijd 100% up-to-date zijn om misbruik zoals hacken te voorkomen en je moet dat desgevraagd ook kunnen aantonen. En is in het geval van calamiteiten als een computerstoring, brand of inbraak gewaarborgd dat gegevens niet verloren gaan?

Tenslotte

Het zal duidelijk zijn: de nieuwe wet is zeer uitgebreid en heeft heel wat gevolgen. En dan zijn we hierboven nog zeker niet volledig geweest. Ons advies: ga op tijd aan de gang (je hebt nu nog ongeveer een maand), ga daarbij systematisch te werk en zorg dat zo veel mogelijk medewerkers betrokken zijn bij de implementatie en hun zegje kunnen doen. Want voor je het weet is het 25 mei 2018…

Share.

About Author

mm

Online ondernemer. Schrijft en leest graag over ondernemerschap. Beheerder van meerdere blogs en als freelancer werkzaam voor diverse bedrijven.

Leave A Reply