Checklist nieuwe privacywet AVG

12 februari 2018
2018-02-21T10:46:11+0100

In een vorig artikel hebben we het gehad over e-mail opt-in met GDPR en hebben we eigenlijk al een voorzetje gegeven op dit artikel. Zoals we daarin ook vermelden treed de Algemene Verordening Gegevensbescherming (AVG) vanaf 25 mei 2018 in werking en moet alles in orde zijn. Leuk hoor, zo'n nieuwe privacywet, maar er is zoveel over te lezen dat je soms door de bomen het bos niet meer ziet! Hoe fijn zou het zijn als er een checklist is die precies laat zien wat je nodig hebt als jouw bedrijf online actief is?! Wij van WC-Eend, adviseren uiteraard WC-Eend dus bij deze ;-)

1. Breng de gegevensstromen in kaart

Bepaal welke van gegevensstromen welke persoonsgegevens bevatten. Leg voor elke verwerking vast met welk doel je die gegevens verwerkt. Het gaat om alle persoonsgegevens, dus ook om personeelsgegevens, sollicitanten, nieuwsbrief gebruikers, contact aanvragen etc.

Geen tijd of vind je dit lastig? We kunnen ook gewoon even bij jou langskomen om alles te inventariseren. Bel ons op 070 - 399 79 34 of neem contact met ons op via het contactformulier.

2. Stel een Functionaris Gegevensbescherming aan (indien nodig)

In de volgende gevallen is er op grond van de AVG een verplichting om een FG te benoemen:

  • Overheidsinstanties en overheidsorganen (behalve gerechtelijke organisaties bij de uitoefening van hun gerechtelijke taken)
  • Als de kernactiviteiten draaien om het gebruik van "bijzondere persoonsgegevens" op grote schaal, denk hierbij bijvoorbeeld aan ziekenhuizen die medische onderzoeken uitvoeren
  • Als de kernactiviteiten draaien om het gebruik van persoonsgegevens dat door de aard van dat gebruik, de omvang daarvan en/of de doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokken personen eisen. Hieronder vallen bijvoorbeeld:

    • Het tracken en opbouwen van profielen van mensen via het internet
    • Het opbouwen van profielen en scores, bijvoorbeeld voor krediet checks, het aangaan van verzekeringen of voorkoming van fraude
    • Het bijhouden van locatiegegevens
    • Behavioral advertising
    • Het bijhouden van gegevens via draagbare apparaten

De FG hoeft niet in dienst te zijn, hoeft geen fulltime functie te zijn en kan dus ook iemand zijn die op basis van een opdrachtovereenkomst voor u werkt.

Tip: Overweeg een FG aan te stellen ook als dit geen verplichting is. Dit kan zeker een toegevoegde waarde zijn voor jouw organisatie.

3. Pas de huidige privacyverklaring aan

Elke onderneming die klantgegevens opslaat is verplicht een privacyverklaring te hebben. Degene die je nu hebt voldoet zeer waarschijnlijk niet aan de nieuwe richtlijnen. Je privacy statement moet voor iedereen leesbaar en begrijpelijk zijn. Gebruik geen woorden die je doelgroep niet kent en hou het zo simpel mogelijk.

Het maken van een privacyverklaring lijkt makkelijker op te stellen dan dat het daadwerkelijk is. Refresj kan dit uiteraard ook voor jou opstellen. Bel ons op 070 - 399 79 34 of neem contact met ons op via het contactformulier.

4. Maak verwerkersovereenkomsten

De persoonsgegevens worden ergens opgeslagen. Met de plek waar deze gegevens opgeslagen worden moet je een verwerkersovereenkomst hebben. Bijvoorbeeld met de boekhouder aangezien deze de facturen voor jou verwerkt of de cloud partner waar je alle contracten en dergelijke opslaat. Breng in kaart welke partners je gebruikt en waar je persoonsgegevens opslaat of doorstuurt. Maak vervolgens per partner een verwerkersovereenkomst.

Het maken van een verwerkersovereenkomst kan je uiteraard ook aan ons uitbesteden. Bel ons op 070 - 399 79 34 of neem contact met ons op via het contactformulier.

5. Toestemmingsregister

Is het verwerken van persoonsgegevens gebaseerd op toestemming? Dan moet je dat kunnen bewijzen. Door middel van een duidelijke handeling of verklaring moeten bezoekers toestemming geven tot de verwerking van de persoonsgegevens. Daarnaast moet de bezoeker zich net zo makkelijk kunnen afmelden als aanmelden. Dit kan technisch geregeld worden door jouw website bouwer.

6. Data Protection Impact Assessment (DPIA)

Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. De verplichting geldt in ieder geval voor bedrijven die op grote schaal mensen volgt of bijzondere persoonsgegevens verwerkt. Voorbeelden van bedrijven waarvoor dit geldt zijn ziekenhuizen, verzekeringsmaatschappijen, banken, telefoonmaatschappijen enz.

Wij kunnen voor jou een DPIA uitvoeren. Bel ons op 070 - 399 79 34 of neem contact met ons op via het contactformulier.

AVG implementatie informatie

Het implementeren kan een tijdrovende klus zijn. Je kan veel vinden op de website van de Autoriteit Persoonsgegevens, maar wij snappen ook dat dit iets is waar jij als ondernemer totaal geen tijd voor hebt. Gelukkig hebben wij specialisten voor dit onderwerp en nemen wij dit volledig bij u uit handen. Bel ons op 070 - 399 79 34 of neem contact met ons op via het contactformulier.



Wil je meer informatie?

Ontdek de mogelijkheden die Refresj jou kan bieden! Bel ons direct voor een afspraak of neem online contact met ons op.

Maak een afspraak »