AVG Stappenplan

Voldoet jouw organisatie aan de AVG? Met dit stappenplan wel!

In 7 stappen ben je helemaal AVG proof, heb je alle privacydocumenten geregeld en is iedereen in je organisatie op de hoogte. Het gaat namelijk niet alleen maar om het af kunnen vinken van de juiste documenten, maar ook dat menselijk handelen op de AVG is afgestemd en iedereen goed met persoonsgegevens omgaat.

Stap 1: Bewustwording en verwerkingen in kaart brengen

Nou ja, voor de bewustwording is het eigenlijk al te laat natuurlijk. De AVG/GDPR komt eraan en rap ook!

Zorg in elk geval dat je weet welke persoonsgegeven je verwerkt en waar ze opgeslagen staan.

Persoonsgegevens gaat over alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene).
Uiteraard namen, adressen en telefoonnummers, ook als dat zakelijke e-mailadressen of telefoonnummers zijn van een specifiek persoon, identificatienummers, zoals personeelsnummers en klantnummers, portretten en meer van dat soort zaken.

Verwerken is bijvoorbeeld het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden of op andere wijze ter beschikking stellen, combineren, afschermen, wissen of vernietigen van gegevens. Ofwel: je hoeft alleen maar naar de persoonsgegevens te kijken of je hebt ze al verwerkt, bij wijze van spreken.

Gegevens die in e-mails staan, zijn dus al een verwerking. Een excelsheet een adressenbestand bijhouden is een verwerking. Een document met persoonsgegevens opslaan in Dropbox of Google Docs en dit delen met een teamgenoot of juist met een derde is een verwerking van persoonsgegevens.
Probeer dus te kijken waar je allemaal persoonsgegevens tegenkomt op je computer en in een online omgeving die bij je bedrijf hoort. Breng alles in kaart. Dit is essentieel!

Stap 2: Verwerkersovereenkomsten

Nu je weet om welke persoonsgegevens het gaat en waar die allemaal staan opgeslagen of met wie of welk bedrijf je ze deelt, weet je ook met welke partijen je verwerkersovereenkomsten moet sluiten.

In die overeenkomst moet bijvoorbeeld staan dat de verwerker niet meer met de gegevens mag doen dan wat de verwerkersverantwoordelijke als opdracht heeft gegeven om ermee te doen. De verwerker moet ook meewerken als er datalekken blijken te zijn en moet ook zorgen voor voldoende beveiligingsmaatregelen. Dit en meer moet in die overeenkomst zijn opgenomen.

Zorg dat met alle partijen verwerkersovereenkomsten gesloten worden. De grote partijen bieden deze zelf aan. Denk aan Microsoft, Google en Mailchimp. Werk je met kleinere partijen, dan zul je soms zelf een verwerkersovereenkomst moeten (laten) schrijven.

Stap 3: Beveligingsmaatregelen

Organisatorische en technische beveiligingsmaatregelen zijn belangrijk. Dat kan soms betekenen dat werkwijzen moeten veranderen en computersystemen anders moeten worden ingericht. Welke beveiligingsmaatregelen getroffen moeten worden hangt mede af van de stand van de techniek, de uitvoeringskosten, de risico’s voor de rechten van de betrokkene en meer. Je moet het dus zo goed mogelijk doen, binnen je vermogen. Dat wil dus niet zeggen dat je de allerbeste beschikbare techniek in hoeft te zetten. Dat is niet altijd redelijk en realistisch en is voor kleine ondernemers ook snel te duur.

Zorg daarom dat je niet te veel persoonsgegevens verwerkt of ze pseudonimiseert, dat je ze niet langer opslaat dan nodig, dat je alles met goede wachtwoorden beveiligt en deze regelmatig wijzigt, dat je gegevens versleutelt. Zorg ook dat er niet meer mensen bij de gegevens kunnen dan nodig, dat je computer in de slaapstand gaat wanneer je de werkplek verlaat, dat je een computer niet met mensen deelt die dan bij de gegevens kunnen terwijl ze dat niet nodig hebben, dat je een privacyscherm gebruikt als je buiten de deur werkt, dat de archiefkast op slot gaat en er niet overal USB-stickjes rondslingeren waar persoonsgegevens op staan.

Stap 4: Functionaris Gegevensbescherming nodig?

In sommige situaties is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht. In het Engels wordt dit ook wel de DPO genoemd (Data Protection Officer) en voorheen was het ook wel bekend als privacy officer.

Een FG is alleen verplicht als er op grote schaal gegevens verwerkt worden en dit een kernactiviteit van de organisatie is. Bovendien moet het gaan om stelselmatige observatie (bijvoorbeeld via een app of wanneer het speciale categorieën van gegevens betreft.

Speciale, bijzondere of gevoelige persoonsgegevens zijn onder meer ras of etnische afkomst, politieke opvattingen, religieuze of levensbe­ schouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Een FG mag een persoon zijn die al bij het bedrijf werkt, maar er mag geen sprake zijn van belangenverstrengeling. De naam van de FG moet onder meer worden opgenomen in de privacyverklaring en het interne privacybeleid.

Stap 5: Informatieplicht – Privacyverklaring

Iedereen die persoonsgegevens verwerkt heeft een informatieplicht naar de betrokkenen toe. Die informatieverplichting is uitgebreider dan onder de Wbp het geval was. Je moet schriftelijk informeren. De meeste organisaties kiezen daarom voor de beproefde periode van de privacyverklaring.

Als je er nog geen hebt: maak hem. Had je er wel al een, geef hem dan de nodige update!

Stap 6: Intern Privacybeleid

Dit wordt ook wel het gegevensbeschermingsbeleid of data protection policy genoemd. Dit is nodig om aan de verantwoordingsplicht te kunnen voldoen. Het helpt je om aan te tonen dat je op orde hebt om aan de AVG te voldoen.

Een intern privacybeleid is niet voor iedereen verplicht. De verantwoordingsplicht mag door veel organisaties ook op een andere manier vervuld worden. Afhankelijk van de verwerkingsactiviteiten is het nodig om het wel op papier te zetten en dus om een privacybeleid te hebben. Verwerk je grote hoeveelheden gegevens of bijzondere of gevoelige gegevens, dan zal een privacybeleid dus wel verplicht zijn.

Daar staat bijvoorbeeld in wie binnen de organisatie waarvoor verantwoordelijk is, bij welke partijen welke persoonsgegevens staan opgeslagen, hoe de beveiliging georganiseerd is, hoe bepaald wordt dat gegevens verwijderd worden, hoe er omgegaan wordt met verzoeken van de betrokkenen en wat het plan is als er sprake is van een datalek. Je omschrijft in een privacybeleid volledig hoe je aan de AVG voldoet.

Stap 7: Register van verwerkingsactiviteiten

Elke partij die persoonsgegevens verwerkt, moet een register van verwerkingsactiviteiten bijhouden. Er is wel een uitzondering gemaakt voor ondernemers met minder dan 250 werknemers, maar als je meer dan incidenteel persoonsgegevens verwerkt (wat per definitie al het geval is als je personeel hebt, volgens de Autoriteit Persoonsgegevens), dan ben je verplicht dit register bij te houden.

Tsja, eh, beetje tegenstrijdig, niet? Nou ja, lees de blogpost over het register van verwerkingsactiviteiten maar en bepaal of je er een bij moet houden of niet.

Stap 8: Gefeliciteerd!

Echt klaar ben je natuurlijk nooit. Het register moet worden bijgehouden, de privacyverklaring en het privacybeleid moeten worden aangepast wanneer er iets veranderd, nieuwe verwerkersovereenkomsten moeten worden gesloten als er iets verandert in de verwerking of als je met een nieuwe partij gaat samenwerken.

Gebruik je voor sommige verwerkingen de grondslag toestemming, dan moet je die toestemming wel opslaan en kunnen bewijzen. Zet een betrokkene zijn/haar rechten in, dan zul je gegevens dus moeten aanpassen of verwijderen indien nodig.

Doorloop in elk geval de bovenste 7 stappen en je bent al goed op weg.