AVG compliance: de AVG checklist – wat te doen voor 25 mei? (20/20)

Geen reacties
Tags: , ,
Posted 28 feb 2018 in nieuws

Op 25 mei is het zo ver: de Algemene Verordening Gegevensbescherming (AVG) wordt van kracht. Veel is er al over geschreven, wat mag wel, wat mag niet en vooral: hoe moet je dit allemaal regelen? In deze blogreeks zijn we de kernpunten van de nieuwe Europese privacywet langsgelopen. Vandaag sluiten we af met een concreet stappenplan: wat staat je te doen om AVG compliant te worden?

De AVG is vooral een kwestie van documenteren en in kaart brengen. Voor ons begint AVG compliance dan ook met inventariseren: wat doe je en waarom. Die inventarisatie werk je uit tot een registratie, waarmee meteen het verplichte verwerkingsregister is gevuld. De daarbij benodigde informatie levert de vervolgstappen op.

Concreet komt dit neer op het volgende stappenplan voor AVG compliance:
  1. Inventariseer welke persoonsgegevens in je organisatie worden gebruikt en waarvoor. Dat gaat niet alleen om de ‘grote’ verwerkingen zoals het klantenbestand of personeelsdossiers, maar ook kleine zaken zoals social media monitoring, het tijdschrift voor relaties en de registratie van bezoekers aan de deur.
  2. Werk iedere verwerking uit tot een registratie (deel 8): wie is verantwoordelijk, waarom doen we dit, welke grondslag hebben we (deel 4 t/m 7) en hoe lang bewaren we deze gegevens (deel 12). Je zult hierbij open vragen tegenkomen, die vervolgstappen opleveren. Denk aan hoe gegevens vernietigd worden of hoe er toestemming gevraagd wordt (deel 4).
  3. Introduceer beveiligingsbeleid (deel 13) en koppel dit aan de verwerkingen. Je kunt daarbij verwerkingen bijvoorbeeld onderverdelen in licht, middel en zwaar en daar verschillende regels voor stellen.
  4. Blijkt dat verwerkingen door derden worden gedaan (deel 10), sluit dan een AVG-compliant verwerkersovereenkomst met deze partijen. Achterhaal ook in welke landen zij gegevens opslaan of verwerken, en neem maatregelen als dat buiten de EU blijkt te zijn (deel 18).
  5. Maak bij iedere verwerking een inschatting van het risico. Als je dit als relatief hoog inschat, voer dan een privacy impact assessment uit (deel 16).
  6. Bepaal of je een privacy officer nodig heeft en ga er dan naar op zoek (deel 11).
  7. Vertaal iedere verwerking naar een privacyverklaring (deel 9) en zorg dat mensen deze tijdig kunnen lezen.
  8. Introduceer beleid voor datalekken (deel 17). Aan wie moet dat intern worden gemeld, en welke personen beslissen over melden bij de toezichthouder en/of aan betrokken personen.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.



Lees het volledige bericht op Emerce »


Add Your Comment