Het is belangrijk om nu al maatregelen te nemen om klaar te zijn voor de AVG. Volg deze tien stappen en voorkom een hoge boete.
1. Bewustwording
Organisaties moeten ervoor zorgen dat alle bij de verwerking van persoonsgegevens betrokken mensen op de hoogte zijn van de nieuwe privacyregels. Zij moeten kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.De implementatie van de AVG kan veel vragen van de beschikbare menskracht en middelen.
2. Rechten van betrokkenen
Onder de AVG hebben mensen van wie de organisatie persoonsgegevens verwerkt meer en verbeterde privacyrechten. De betrokken moeten goed hun privacyrechten kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar hou ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Mensen moeten makkelijk kunnen beschikken over hun gegevens en deze door kunnen geven aan een andere organisatie. Mensen kunnen bij de AP een klacht indienen over de manier waarop een bedrijf of organisatie met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.
3. Overzicht verwerkingen
Maak een overzicht van al je verwerkte persoonsgegevens. Noteer waar je de data vandaan hebt, met welk doel je ze hebt opgeslagen en met wie je ze deelt. Zorg dat je ook vermeldt op basis van welke wettelijke grondslag je deze gegevens verwerkt. De AVG legt een documentatieplicht op, wat inhoudt dat aangetoond moet kunnen worden dat de organisatie handelt in overeenstemming met de AVG. Deze documentatie kan ook nodig zijn als betrokkenen hun privacyrechten uitoefenen. Als zij vragen hun gegevens te corrigeren of te verwijderen, moet dit doorgegeven worden aan de organisaties waarmee deze gegevens zijn gedeeld.
4. Privacy Impact Assessment (PIA)
Bij invoering van de AVG kun je ook verplicht om een Privacy Impact Assessment (PIA) uit te voeren als je data verwerkt met een hoog privacyrisico. De PIA is een instrument waarmee je vooraf kunt bepalen wat risico's zijn die horen bij het verwerken van bepaalde persoonsgegevens.
5. Privacy by design & privacy by default
Privacy by design houdt in dat al bij het ontwerpen van producten en diensten wordt gezorgd voor het goed beschermen van persoonsgegevens. Privacy by default betekent dat de organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat, als standaard, alléén persoonsgegevens verwerkt worden die noodzakelijk zijn voor het specifieke doel dat de organisatie wenst te bereiken.
Voorbeelden:
Als je bedrijf op grote schaal persoonsgegevens verwerkt en dit je kernactiviteit is, ben je verplicht een functionaris voor de gegevensbescherming aan te stellen. Ook overheidsinstanties en publieke organisaties moeten zo'n functionaris hebben.
6. Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.
7. Meldplicht datalekken?
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan registratie in de organisatie van de datalekken die zich er hebben voorgedaan.
Alle datalekken dienen gedocumenteerd te worden. Aan de hand van deze documentatie moet de AP kunnen controleren of de betrokken organisatie aan de meldplicht heeft voldaan
8. Bewerkersovereenkomsten
Heeft u uw gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw bewerkers nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
9. Leidende toezichthouder?
Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.
10. Toestemming
De gegevensverwerking in een organisatie kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer om die reden de manier waarop jullie organisatie toestemming vraagt, krijgt en registreert en zorg voor de benodigde aanpassingen.
Nieuw is dat de organisatie moet kunnen aantonen dat zij geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.