PrivacyBlox over de AVG [20/20]: de AVG checklist – wat te doen voor 25 mei?

28 februari 2018

Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Veel is er al over geschreven, wat mag wel, wat mag niet en vooral: hoe moet je dit allemaal regelen? In deze blogreeks zijn we de kernpunten van de nieuwe Europese privacywet langsgelopen. Vandaag sluiten we af met een concreet stappenplan: wat staat u te doen om AVG compliant te worden?

De AVG is vooral een kwestie van documenteren en in kaart brengen. Voor ons begint AVG compliance dan ook met inventariseren: wat doet u en waarom. Die inventarisatie werkt u uit tot een registratie, waarmee meteen het verplichte verwerkingsregister is gevuld. De daarbij benodigde informatie levert de vervolgstappen op.

Concreet komt dit neer op het volgende stappenplan voor voldoen aan de AVG:

  1. Inventariseer welke persoonsgegevens in uw organisatie worden gebruikt en waarvoor. Dat gaat niet alleen om de ‘grote’ verwerkingen zoals het klantenbestand of personeelsdossiers, maar ook kleine zaken zoals social media monitoring, het tijdschrift voor relaties en de registratie van bezoekers aan de deur.
  2. Werk iedere verwerking uit tot een registratie (deel 8): wie is verantwoordelijk, waarom doen we dit, welke grondslag hebben we (deel 4 t/m 7) en hoe lang bewaren we deze gegevens (deel 12). U zult hierbij open vragen tegenkomen, die vervolgstappen opleveren. Denk aan hoe gegevens vernietigd worden of hoe er toestemming gevraagd wordt (deel 4).
  3. Introduceer beveiligingsbeleid (deel 13) en koppel dit aan de verwerkingen. U kunt daarbij verwerkingen bijvoorbeeld onderverdelen in licht, middel en zwaar en daar verschillende regels voor stellen.
  4. Blijkt dat verwerkingen door derden worden gedaan (deel 10), sluit dan een AVG-compliant verwerkersovereenkomst met deze partijen. Achterhaal ook in welke landen zij gegevens opslaan of verwerken, en neem maatregelen als dat buiten de EU blijkt te zijn (deel 18).
  5. Maak bij iedere verwerking een inschatting van het risico. Als u dit als relatief hoog inschat, voer dan een privacy impact assessment uit (deel 16).
  6. Bepaal of u een privacy officer nodig heeft en ga er dan naar op zoek (deel 11).
  7. Vertaal iedere verwerking naar een privacyverklaring (deel 9) en zorg dat mensen deze tijdig kunnen lezen.
  8. Introduceer beleid voor datalekken (deel 17). Aan wie moet dat intern worden gemeld, en welke personen beslissen over melden bij de toezichthouder en/of aan betrokken personen.

Meer weten? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden. En bekijk ook de overzichtelijke tooling van Privacyblox.nl. Het systeem maakt processen van gegevensverwerking transparant. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat

MEER
LEZEN?

AVG

Voldoen aan privacywetgeving: het levert je organisatie voordelen op

Uit onderzoek blijkt namelijk dat het voldoen aan de privacywetgeving ook goed is voor je business. Door de juiste privacymaatregelen te treffen, ervaren organisaties voordelen, zoals: minder datalekken en minder verkoopvertragingen.
Lees meer

Met deze truc stel je ongemerkt inkoopvoorwaarden buiten werking

Wie met grotere bedrijven zaken doet, heeft ze vast al eens langs gehad: de inkoopvoorwaarden (General Purchasing Terms of GPT). Vaak heel lange en dreigend klinkende documenten, waar je dan maar even mee akkoord moet gaan anders geen inkooporder voor jou. Erg vervelend, want als je zomaar tekent dan ben je volledig aansprakelijk voor het kleinste foutje of vergissinkje. Er is echter een truc waarmee je het jezelf een stuk eenvoudiger maakt om van lastige inkoopvoorwaarden af te komen.
Lees meer

Zes contracten die iedere (internet)ondernemer moet hebben

Contracten, het liefst wil menig ondernemer er niets mee te maken hebben. Gezeur over kleine lettertjes staat het zakendoen maar in de weg. Toch is het onverstandig om volledig zonder contracten de weg op te gaan, althans als je geen zin hebt in juridische claims en hoge schadevergoedingen. Wees dus voorbereid en zorg dat je deze contracten in je tas (of hippe rugzak) hebt.
Lees meer
Arnoud Engelfriet

Arnoud Engelfriet

Arnoud Engelfriet is kennispartner bij JuriBlox. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.