Klaar voor AVG? Doe de check!

Artikel
Floris Lovink
16 april 2018

In navolging van onze kennissessie ‘De impact van de nieuwe privacy wetgeving (AVG) op online’, in samenwerking met Privacy Company, hebben we nog even de 10 zaken opgesomd die je echt even moet checken voordat op 25 mei 2018 de nieuwe wet ingaat!

1. Zijn de juiste personen bewust van de wetgeving?

Een cruciale eerste vraag. De juiste mensen in je organisatie, zij die met persoonsgegevens werken, moeten zich bewust zijn van wat wel en niet mag onder de nieuwe wetgeving. 

2. Moet je een verwerkingsregister aanleggen?

Ja, in veel gevallen is het verplicht om inzichtelijk te maken hoe je persoonsgegevens verwerkt (waarom noodzakelijk, bron, bewaartermijn, etc.). 

3. Heb je een functionaris gegevensbescherming nodig?

Verwerkt jouw organisatie veel (bijzondere) persoonsgegevens? Dan kan deze verplichting voor de organisatie gelden. Deze functionaris ondersteunt een organisatie bij handelen conform de AVG-wet. Lees meer op de website van Autoriteit Persoonsgegevens.

4. Voldoe je aan privacy by design & privacy by default?

Als organisatie dienen je producten en diensten in de basis privacy vriendelijk te zijn. Waar mogelijk moeten ze persoonsgegeven pseudonimiseren/anonimiseren. Bestaande producten en diensten moeten hierop worden aangepast.

5. Zijn overeenkomsten met subverwerkers gesloten?

Zijn er dienstverleners, zoals je marketing- of webbureau, die namens jouw persoonsgegevens verwerken? Sluit dan een verwerkersovereenkomst met ze af.

6. Verkrijg je op de juiste manier toestemming?

Om persoonsgegevens te verwerken is toestemming nodig. Die toestemming moet verleend worden middels een herleidbare opt-in. Lees meer over deze belangrijke grondslag van de AVG. Maakt jouw website gebruik van cookies? Zorg dan dat je de cookiemelding AVG/GDPR-proof maakt!

7. Heb je maatregelen getroffen voor rechten van betrokkenen?

Individuen hebben met de nieuwe wet meer controle over hun gegevens. Ze hebben bijvoorbeeld het recht om vergeten te worden of op dataportabiliteit: ze kunnen organisaties vragen om hun data en/of deze over te dragen aan andere organisaties. Om hieraan te kunnen voldoen moet je als organisatie procedures opstellen en eventueel technische maatregelen nemen.

8. Is er een databeveiligingsbeleid?

Bij het maken van zo’n beleid moet je ook nadenken over de beveiliging van verbindingen, sterke wachtwoorden afdwingen en het beheer van kopieën en back-ups. Het gaat dus niet alleen om kwaadwillende van buitenaf, maar ook om risico’s van binnenuit (rondslingerende USB-sticks, etc.).

9. Wat is een DPIA en heb ik het nodig?

DPIA staat voor Data Protection Impact Assessment en is verplicht bij een hoog privacy risico. Het is een instrument om dat risico in kaart te brengen en een systeem voor de beschrijving van de beoogde maatregelen.

10. Heb je een protocol voor de meldplicht datalekken?

Als organisatie moet je binnen 72 uur melding doen bij de Autoriteit Persoonsgegevens als er sprake is van inbreuk persoonsgegevens. Hieronder valt de vernietiging, het verlies of de wijziging van gegevens of ongeoorloofde verstrekking daarvan of toegang tot die gegevens. Zorg dus dat iedereen in de organisatie weet wat er in zo’n geval moet gebeuren. Wanneer moet er gebeld worden en met wie?


Hulp nodig op organisatorisch of juridisch gebied?

SWIS kan geen juridisch advies geven over de AVG en de implementatie ervan in jouw organisatie. Als je meer wilt lezen of concrete hulp nodig hebt bij het doen van juiste aanpassingen in je organisatie, check de website van Privacy Company

Omdat wij in veel gevallen de (sub)verwerker zijn, stellen we een verwerkersovereenkomst op voor de sites waar dit nodig is. Heb je hier vragen over, of over andere eventuele technische aspecten aangaande het implementeren van AVG? Bel 071-576 13 23 of mail ons gerust.

Klant van SWIS? Workshop op maat? Check. 

Samen met Privacy Company organiseren we AVG-workshops op maat. In zo'n workshop kijken wij samen met jou welke afspraken we moeten maken om te voldoen aan de AVG. Daarnaast kan Privacy Company kijken of de maatregelen die je in de rest van de organisatie genomen hebt voldoen aan de AVG.

De workshop bestaat uit 3 delen:

  1. Wat doet SWIS om de privacy van jouw klanten veilig te stellen.
  2. Alle zaken die opgenomen zijn in de verwerkersovereenkomst (artikel 28 lid 3 AVG).
  3. PrivacyCompany zal een presentatie geven over alle verplichtingen onder de AVG, zodat je op de hoogte bent over welke maatregelen je moet nemen om te voldoen aan de AVG.