Checklist AVG/GDPR. Ben jij er klaar voor?

Leuk zeg, die nieuwe AVG/GDPR. Heel veel info. Fijn. Maar ehhh, wat moet je nu precies doen? Welke documenten moet je hebben? Het is zoveel dat je door de bomen het bos niet meer ziet. Uitleggen wat er in elk document moet staan zou wel een heel lang verhaal worden, maar ik geef je hieronder wel een checklist welke documenten je in elk geval nodig hebt, zodat je ervoor kunt zorgen dat je voor 25 mei 2018 alles op orde hebt. En ja, dit geldt voor elke onderneming, hoe klein ook.

Checklist AVG/GDPR

1. Privacyverklaring

Elke onderneming heeft een privacyverklaring nodig. Elke onderneming slaat tenslotte klantgegevens op en dat is al een verwerking van persoonsgegevens. Over die verwerking moet je transparant zijn en de ‘betrokkene’ (de persoon waarvan de persoonsgegevens zijn) over informeren. Nu B2B persoonsgegevens, zoals de persoonsgegevens van je contactpersoon (naam, e-mailadres, doorkiesnummer) onder de regels van de AVG/GDPR gaan vallen, heeft echt elke onderneming een privacyverklaring nodig.

Heb je al een privacyverklaring? Mooi! Maar dan ben je nog niet van me af.
Volgens de AVG/GDPR moet er namelijk veel meer informatie in de privacyverklaring staan en moet het nog duidelijk en in begrijpelijk Nederlands worden opgeschreven ook. Elke privacyverklaring heeft dus een update nodig!

Wil jij ook een maatwerk privacyverklaring?

2. Verwerkersovereenkomst

De persoonsgegevens sla je natuurlijk ergens op. Waarschijnlijk op servers die je bij een hostingpartij huurt. Je maakt wellicht gebruikt van nieuwsbriefsoftware. Met alle partijen die bij de persoonsgegevens kunnen die jij opslaat, moet je een verwerkersovereenomst sluiten. Dus ook met Dropbox als daar persoonsgegevens terechtkomen, omdat je daar bijvoorbeeld de facturen opslaat. Ook met je boekhouder, als je aan hem/haar al je facturen toestuurt om ze in te kunnen kloppen. Ook met het softwarebedrijf waarmee je offertes en facturen aanmaakt. Ook met het bedrijf waarmee je het online programma hebt gebouwd, die accountgegevens en wachtwoorden opslaat. Ga zo maar door.

Sommige grotere bedrijven, vooral als ze in de EU gevestigd zijn, zullen zelf misschien al zo’n verwerkersovereenkomst hebben, die je kunt tekenen. Vraag daarnaar! Zo niet, stel er zelf een op of laat dat doen en laat deze overeenkomst vervolgens tekenen door de verwerkers.

Wij schrijven graag verwerkersovereenkomsten

3. Privacybeleid

Een privacybeleid, ook wel het gegevensbeschermingsbeleid genoemd, is niet voor elke onderneming verplicht. Maar: elke onderneming heeft wel een zogenaamde verantwoordingsplicht. Dat is de plicht om aan te kunnen tonen dat je aan alle verplichtingen van de AVG voldoet. Hoe doe je dat nu het beste en makkelijkste? Door een privacybeleid te hebben. Daarin staat onder meer welk soort persoonsgegevens je verwerkt, voor welke doeleinden, met welke juridische grondslag, hoe je de gegevens beveiligt, hoe lang je ze bewaart, hoe je ervoor zorgt dat personen klachten kunnen indienen, toestemming in kunnen trekken en hoe ze hun gegevens kunnen opvragen in het kader van de dataportabiliteit.

Wij adviseren over je privacybeleid

4. Toestemmingsregister

Is het verwerken (daar valt alleen al opslaan onder) van persoonsgegevens gebaseerd op toestemming? Dan moet je dat kunnen bewijzen. Dat valt ook onder de verantwoordingsplicht. Je moet dus een soort register bijhouden van de toestemming die je gekregen hebt, wanneer je die gekregen hebt, hoe je die gekregen hebt, waarvoor je die gekregen hebt en voor welke duur je die gekregen hebt. Als de toestemming wordt ingetrokken moet je dat ook registreren.

Veel nieuwsbriefsoftware voorziet daar gelukkig al in. Kwestie van goed bewaren dus en opslaan wanneer je overstapt naar andere software. Zo’n register mag je natuurlijk automatiseren. Maak het jezelf zo makkelijk mogelijk, zolang je maar aan de Autoriteit Persoonsgegevens kunt aantonen dat je toestemming hebt gekregen om de persoonsgegevens te verwerken zoals je ze in de praktijk gebruikt.

5. Register verwerkingsactiviteiten

Verwerk je gevoelige gegevens, zoals informatie over godsdienst, politieke voorkeuren of medische gegevens en/of verwerk je structureel persoonsgegevens en/of heeft jouw organisatie meer dan 250 medewerkers, dan moet je een register van de verwerkingsactiviteiten bijhouden. Ja, bijhouden ja. Dat blijft dus doorlopen.

Je moet ook registreren wie er wanneer bij de persoonsgegevens kon. Die logbestanden moet je bewaren. Dat heeft met name te maken met de beveiliging van de gegevens en op kunnen sporen waar het lek mogelijk heeft gezeten als het per ongeluk toch fout gaat.


Of bekijk de video op YouTube

Niet meer doen!

Wat je toch al niet meer moest doen, maar nu al helemaal niet meer:

  • Excel sheets maken met gegevens, die je ergens onveilig opslaat en waaruit de gegevens niet automatisch gewist worden wanneer dat wel nodig of verplicht is. Alles waar persoonsgegevens in opgeslagen staan moet actueel zijn en het moet goed beveiligd zijn.
  • Adressenbestanden inkopen, zonder dat je weet waar precies toestemming voor is gegeven. Je moet bijhouden op basis waarvan je gegevens mag verwerken. Toestemming kan een grondslag zijn. Veel adressenbestanden zijn bij elkaar verzameld, maar het kan zijn dat de grondslag niet meer geldig is of er geen toestemming is gegeven. Zakelijke persoonsgegevens zijn nu immers ook persoonsgegevens geworden.
  • Te laks omgaan met gegevens en verplichtingen. De Autoriteit Persoonsgegevens mag namelijk boetes gaan uitdelen vanaf 25 mei 2018.

Hulp nodig bij de implementatie?

Comments

  1. En hoe werkt het toestemmingsregister met communicatie via e-mail? Moet ik klanten specifiek vragen over ik hun mailtjes (met daarin persoonsgegevens) mag bewaren in mijn inbox?

    • Toestemming moet o.a. bestaan uit een duidelijke actieve handeling. Het versturen van de e-mail is in die zin wel een actieve handeling, iemand die de e-mail stuurt mag verwachten dat de gegevens die daarin staan in jouw inbox terecht komen. Dat betekent natuurlijk wel nog steeds dat je verplicht bent deze goed te beveiligen en e-mails niet langer te bewaren dan noodzakelijk. Zorg bijvoorbeeld dat je daarover informeert d.m.v. een privacyverklaring op je website.

  2. Voor de zekerheid. Ik heb een blog, maar niet geregistreerd bij de KVK (verdien er ook niets mee, dus het is geen onderneming). Wel heb ik Google Analytics om mijn bezoekersaantallen/views te checken, moet ik dit nu ook allemaal gaan aanvragen of niet? Het klinkt namelijk alsof je het alleen maar over echte ondernemingen en bedrijven hebt.
    Thanks alvast!

    • Op moment dat jij persoonsgegevens verwerkt moet jij je aan de AVG houden. Daarbij maakt het niet uit of je wel of niet een onderneming bent. Onder verwerken valt o.a. het verzamelen, vastleggen, opslaan, bijwerken, opvragen, gebruiken, etc. van persoonsgegevens.

      De AVG maakt wel een uitzondering voor verwerking door natuurlijke personen (“echte” mensen), maar alleen als de persoonsgegevens worden verwerkt als een zuiver persoonlijke of huishoudelijke activiteit. Denk daarbij bijvoorbeeld aan een e-mail die je stuurt aan je moeder.
      Een blog valt daar niet onder.

      • Oke, dus als ik het goed begrijp moet ik doordat ik Google Analytics geïnstalleerd heb voor mijn blog dit ook allemaal regelen (als ik dit bijvoorbeeld verwijder is er niets aan de hand)? Of kan ik GA gewoon actief laten staan en geldt het alleen als ik ook écht iets met die gegevens van Google Analytics doe?

        Jeetje wat een gedoe zeg, het idee “vrijblijvend en voor de lol” wordt op deze manier wel een stuk minder.

        Thanks voor het antwoord in ieder geval!

        • Wat je precies moet regelen ligt er onder andere aan hoe jij je Google Analytics precies hebt ingesteld. Denk er bijvoorbeeld ook aan dat contactformulieren en nieuwsbriefinschrijvingen ook persoonsgegevens kunnen bevatten. Daar gaat dus ook de AVG voor gelden.
          Stuur ons even een e-mail als je daar persoonlijk advies over zou willen.

        • Poeh, inderdaad… Het voelt alsof je verplicht wordt van je hobby je werk te maken. Nou, dan mag ik wel snel beginnen voordat ik mijn leven lang aan een miljoenenboete vastzit..

  3. Lex Vroemen says:

    Wat ik vreemd vindt is het toestemmingsregister, als toestemming wordt ingetrokken moet dit ook in het register komen. Daarmee is het register toch op zichzelf al een inbreuk? Want als ik mijn toestemming intrek en vergeten wil worden dan is het toch de bedoeling dat dat overal gebeurt ook in het register.

    • Het recht om toestemming in te trekken is niet hetzelfde als het recht om vergeten te worden.
      Als je een verzoek doet ‘om vergeten te worden’, dan verzoek je inderdaad verwijdering van al je gegevens, dus het wissen ervan.

      Als gegevens op grond van ‘toestemming’ verwerkt worden, mag deze toestemming worden ingetrokken. Vanaf het moment van intrekken van de toestemming, mogen de gegevens niet verder verwerkt worden op grond van de ‘toestemming’, want die is er dan niet meer. Het intrekken van toestemming doet dan in principe niets af aan de rechtmatigheid van de verwerking voorafgaand aan het moment van intrekken.

  4. Danny says:

    Dropbox lijkt niet mee te gaan werken aan verwerkersovereenkomsten. Is daar bij jullie al wat meer over bekend? Dat betekent dus dat zij niet AVG-compliant zullen zijn. In dat geval zijn we dus zelf verantwoordelijk dat we geen persoonsgegevens in hun mappen plaatsen…? Wat is jullie visie daarover?

    • Ze voldoen wel aan de EU-US Privacy Shield, maar lijken inderdaad geen verwerkersovereenkomst aan te bieden of de nodige bepalingen in een overeenkomst te hebben opgenomen. Die verwerkersovereenkomst moet je wel hebben. Het gaat niet alleen maar om dat je er zelf voor verantwoordelijk bent, maar dat je dus ook niet de verplichte afspraken hebt gemaakt.

      • Maar zolang je zelf geen documenten met persoonsgegevens van klanten upload is er toch geen sprake van persoonsgegevensverwerking? En dan is de hele GDPR niet van toepassing en is dus een verwerkersovereenkomst toch niet verplicht?

  5. Op jullie eigen privacy verklaring staat niets specifieks over hoe jullie de gegevens van je klanten opslaat of verwerkt. Je zult toch ook een server of een online software pakket gebruiken. Hoe zit dat dan?

  6. Roel van Dijk says:

    Mag je wel een Youtube embed gebruiken op je website zonder akkoord te gaan met Cookies? Ik zie dit bijvoorbeeld ook op deze pagina zelf staan. Youtube (oftewel Google) schrijft namelijk wel (third-party) cookies weg zodra je de pagina opent, maar ik heb hier dus geen toestemming voor gegeven.

    Hoe zit dit precies?

  7. Ik snap er niks meer van , maar ik zal niet de enige zijn denk ik. Wat de doen als ik wat foto’s voor en van iemand heb gemaakt en die ik verstuur per wetransfer of op mijn fb zet?
    Ik doe verder niks met gegevens van mensen , geen adressen , banknummers etc , dus daar heb ik niks mee te maken. Ik hoor het graag , en ook hoe ik mezelf hier eenvoudig voor in zou kunnen dekken als dat mogelijk is.

Speak Your Mind

*