AVG stappenplan

Als u tegen de AVG op ziet, dan is dat helemaal niet gek. De wet kan door haar taalgebruik en hoeveelheid eisen aan bedrijven best een flinke kluif lijken. In de praktijk valt dit gelukkig mee. Er worden inderdaad een hoop eisen aan het gemiddelde bedrijf gesteld, maar deze zijn vrij eenvoudig op te delen in slechts tien onderwerpen. Wij leggen u uit waar u aan moet denken, en nemen u graag mee door de tien hoofdonderwerpen van de AVG.

Register van verwerkingsactiviteiten

Om persoonsgegevens goed te kunnen beschermen, moet u een overzicht hebben wat u precies verwerkt, hoe u dit doet, en welke andere partijen daarbij betrokken zijn. Afhankelijk van uw rol als Verantwoordelijke (bepaalt hoe en wat verwerkt wordt) of Verwerker (verwerkt in opdracht van een Verantwoordelijke), moet het register andere details bevatten.

Functionaris voor Gegevensbescherming

Sommige bedrijven hebben vanwege de persoonsgegevens die ze verwerken een interne toezichthouder nodig. Deze persoon, de Functionaris voor Gegevensbescherming, moet dan aangesteld worden. Hij of zij moet onafhankelijk en deskundig zijn en mag geen instructies ontvangen.

DPIA’s

Impact Assessments zijn gelukkig niets nieuws. Onder de AVG is in bepaalde gevallen, als er een groot risico voor persoonsgegevens kan zijn, een speciale impact assessment verplicht. De AVG zelf is niet erg duidelijk wat zo’n assessment precies moet bevatten, maar een Europees adviesorgaan heeft gelukkig een duidelijk overzicht gemaakt.

Rechten van betrokkenen

Betrokkenen, ook wel alle personen over wie u persoonsgegevens verwerkt, zijn de eigenaar van hun persoonsgegevens. Als u voor een verwerking de Verantwoordelijke bent, mogen betrokkenen bepaalde rechten bij u uitoefenen. Dit is bijvoorbeeld vragen wat u allemaal over hen bezit, en mogelijk een verzoek om dit te verwijderen.

Datalekken

Persoonsgegevens kunnen per ongeluk of expres verdwijnen of in verkeerde handen terecht komen. Dit gebeurt erg vaak, en is, met de juiste genomen acties, meestal geen drama. Wel is het belangrijk dat u een procedure heeft voor datalekken, omdat deze anders niet efficiënt aangepakt kunnen worden.

Verwerkersovereenkomsten

Tussen Verantwoordelijken en Verwerkers moeten bepaalde afspraken gemaakt worden. Verwerkers verwerken in opdracht van de Verantwoordelijke, en moeten dus ook (redelijke) schriftelijke instructies opvolgen. Ook het beveiligen van de gegevens, en helpen van de Verantwoordelijke bij datalekken en verzoeken van betrokkenen zijn erg belangrijk.

De toezichthouder

Elk land in de EU heeft een nationale toezichthouder. (Duitsland heeft er zelfs ook voor elke staat eentje) In Nederland is dit de Autoriteit Persoonsgegevens. Bedrijven die persoonsgegevens verwerken doet dit vaak over landsgrenzen heen, waardoor er meerdere toezichthouders toezicht mogen houden. Toch neemt altijd één toezichthouder de leiding bij onderzoek, en het is belangrijk dat u bepaald heeft welke dat is.

Verwerkingsgrondslagen

Het verwerken van persoonsgegevens omdat dit geld oplevert is onder de AVG niet rechtsgeldig. Voor elke verwerking moet er een geldige reden zijn. Onder de AVG zijn er 6 “grondslagen”, waaronder bijvoorbeeld “uitvoeren van een contract”, “gerechtvaardigd belang” en de bekende “toestemming”. U dient gedocumenteerd te hebben welke grondslag waar van toepassing is en waarom.

Privacy by design en privacy by default

Om te zorgen dat betrokkenen niet door allerlei hoepels hoeven te springen om goed beschermd te zijn, zijn bedrijven verplicht hun producten en diensten met privacy in gedachten te ontwikkelen. Een voorbeeld is dataminimalisatie, wat betekent dat een bedrijf niet meer persoonsgegevens mag verzamelen dan ze nodig hebben voor een verwerking.

Bewustwording

Nu kan management nóg zo goed op de hoogte zijn van de AVG, het kan altijd nog misgaan als de medewerkers die dagelijks in aanraking komen met persoonsgegevens niet weten hoe zij hier mee om moeten gaan. Het is daarom belangrijk dat binnen bedrijven voldoende aandacht wordt besteed aan kennisontwikkeling voor medewerkers, bijvoorbeeld door middel van awareness trainingen.

De AVG-beheer tool

Om u te helpen de eisen op al deze tien gebieden eenvoudig te beheren, heeft ISO2HANDLE samen met ICT Institute de AVG-beheertool ontwikkeld. Met deze tool loopt u door de tien stappen van het AVG-certificaat heen, en kunt u onder andere uw verwerkingsregister bijhouden, DPIA’s opslaan, en verwerkersovereenkomsten genereren. U kunt hier een gratis demo account aanvragen, om zo een maand lang kosteloos te kijken of deze manier van AVG beheer iets voor u is.

Start je gratis AVG demo