AVG CHECKLIST:

WAAR MOET JE ALS BEDRIJF AAN VOLDOEN?

21 JUNI 2018 | ROBERT VISSCHER

De recent van kracht geworden Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat je als bedrijf voortaan aan strengere eisen moet voldoen op het gebied van de bescherming van persoonsgegevens. Welke verantwoordelijkheden heb je als bedrijf onder de AVG? En welke maatregelen moet je nemen? Wij laten het zien aan de hand van een handige en overzichtelijke AVG-checklist.

Welke gegevens vallen onder de AVG?

De AVG heeft betrekking op alle landen in de Europese Unie en vervangt dus ook de nationale privacywetgevingen van de diverse EU-landen. In ons land vervangt de AVG de Wet bescherming persoonsgegevens (Wbp). De nieuwe wet is van toepassing op alle persoonsgegevens, waaronder dus ook klantgegevens, personeelsgegevens en gegevens van crediteuren en debiteuren. De AVG geeft de volgende definitie van persoonsgegevens:

Alle informatie gerelateerd aan een geïdentificeerde of identificeerbare natuurlijke persoon.”

Ook een vof, zzp’er of eenmanszaak valt hier dus onder. Nagenoeg alle bedrijven zullen dus onherroepelijk te maken krijgen met de nieuwe regels.

AVG-checklist 2018 voor het MKB

Niet voldoen aan de richtlijnen van de AVG kan een kostbare zaak zijn, want boetes kunnen oplopen tot het enorme bedrag van 20 miljoen euro of 4% van de wereldwijde omzet. Het is dus van belang dat je als bedrijf de zaken goed op orde hebt nu de nieuwe wetgeving van kracht is. De onderstaande AVG-checklist is een handig hulpmiddel om ervoor te zorgen dat jouw bedrijf klaar is voor de nieuwe privacywet.

1. Kijk goed na of je gegevens mag verwerken

Onder de Algemene Verordening Gegevensbescherming mag niet iedereen zomaar persoonsgegevens verwerken. Je moet aan een aantal eisen voldoen om dit te mogen doen. Zo moet er bijvoorbeeld sprake zijn van een wettelijke grondslag om persoonsgegevens te mogen verwerken. Er zijn zes grondslagen te benoemen op basis waarvan de verwerking wettelijk is toegestaan.

  • Er is toestemming gegeven door de betrokken persoon.
  • De gegevensverwerking is nodig voor het sluiten of aangaan van een overeenkomst.
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  • De gegevensverwerking is noodzakelijk in verband met vitale belangen van de betrokken persoon.
  • Het verwerken van gegevens is onontkoombaar voor het vervullen van een taak van algemeen belang of voor het uitoefenen van openbaar gezag.
  • De gegevensverwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen.

2. Vraag op de juiste manier toestemming

De manier waarop je als bedrijf toestemming vraagt om persoonsgegevens te mogen verwerken is ook belangrijk. Dit betekent dat je mensen goede, eerlijke en ondubbelzinnige informatie geeft over de identiteit van je bedrijf, helder uitlegt waarom en welke persoonsgegevens je verwerkt, mensen duidelijk maakt dat ze het recht hebben om hun toestemming weer in te trekken en niemand onder druk zet om persoonsgegevens met je te delen en te laten verwerken.

3. Geef personen inzage in hun rechten

Transparantie is een groot goed als het gaat om privacygevoelige gegevens. De AVG geeft personen dan ook het recht om hun gegevens te verwijderen (recht op vergetelheid) of te corrigeren als ze zich hiertoe geroepen voelen. Maak dit mogelijk, bijvoorbeeld door een procedure hiervoor te maken of een beveiligd portaal te creëren dat personen kunnen gebruiken om hun gegevens in te zien en te wijzigen. Als personen hun gegevens willen aanpassen of verwijderen, moet dit ook worden doorgevoerd bij andere instanties en bedrijven waar je de gegevens mee hebt gedeeld. Overigens heeft het personeel van jouw bedrijf natuurlijk dezelfde rechten. Je kunt werknemers inzage geven in hun gegevens door ze bijvoorbeeld een kopie te geven van hun personeelsdossier. Let er dan wel op dat persoonsgegevens van andere personen hierbij weer niet worden gedeeld.

4. Maak een soepele gegevensoverdracht mogelijk

Zorg er ook altijd voor dat personen hun gegevens gemakkelijk kunnen opvragen en door kunnen geven aan andere organisaties van hun keuze. De AVG geeft iedereen namelijk het recht om zijn of haar gegevens ‘mee te nemen’ (dataportabiliteit). Dit is bijvoorbeeld belangrijk als klanten of leveranciers over willen stappen naar een andere partij.

5. Stel een goed privacybeleid op

Je doet jezelf als MKB-bedrijf een groot plezier met het opstellen van een goed doordacht privacybeleid. Leg duidelijk vast hoe je binnen jouw organisatie omgaat met persoonsgegevens en communiceer hierover in eenvoudige en begrijpelijke taal.

Werk die afspraken verder uit in een intern beleidsstuk met concrete gedragsregels, draaiboeken en heldere werkinstructies. Zo ben je niet alleen op papier, maar ook in de praktijk uitstekend voorbereid op de AVG. Na het opstellen van een privacybeleid en intern beleid, kun je je processen, procedures en systemen aanpassen en afstemmen op deze nieuwe wetgeving.

6. Stel een verwerkingsregister op

De AVG verplicht bedrijven ook om een verwerkingsregister op te stellen. Dit moet per verwerkingsactiviteit op zijn minst de onderstaande gegevens bevatten:

  • de naam en contactgegevens van de verwerker(s), verantwoordelijke en de eventuele Functionaris Gegevensbescherming (FG);
  • het doel van de gegevensverwerking;
  • een beschrijving van de categorie betrokkenen en categorie persoonsgegevens;
  • een vermelding van een verstrekking van persoonsgegevens aan een derde land of een internationale organisatie;
  • de (voorgenomen) bewaartermijnen en een algemene beschrijving van de beveiligingsmaatregelen;
  • de categorieën waarbinnen de verwerkingsactiviteiten vallen.

7. Pas verwerkersovereenkomsten aan

Heb je als MKB-bedrijf gegevensverwerkingen uitbesteed aan andere partijen? Stel dan voor iedere toeleverancier een verwerkersovereenkomst op en verzeker je ervan dat de documenten van kop tot staart zijn aangepast aan de nieuwe eisen van de AVG. Er zijn diverse modelovereenkomsten ontwikkeld die gehanteerd kunnen worden door verantwoordelijken en verwerkers.

8. Onderzoek of je een Functionaris Gegevensbescherming nodig hebt

Het aanstellen van een Functionaris Gegevensbescherming (FG) is niet in alle gevallen verplicht. Een van de situaties waarin het wel verplicht is, is als er op grote schaal zeer gevoelige persoonsgegevens worden verwerkt. Toch kan het nooit kwaad om te onderzoeken of jouw bedrijf gebaat is bij zo’n specialist. Zo iemand kan je veel werk uit handen nemen en een belangrijke toegevoegde waarde voor de organisatie vormen.

De FG hoeft geen fulltime-werknemer in vaste dienst te zijn. Een Functionaris Gegevensbescherming inhuren op basis van een dienstverleningsovereenkomst is ook heel goed mogelijk.

9. Controleer alle bedrijfsprocessen

Het systematisch controleren van al je bedrijfsprocessen op de verwerking van persoonsgegevens is ook een belangrijk onderdeel van de AVG-checklist voor bedrijven binnen het MKB. Neem hierbij het hele proces onder de loep, dus van het verzamelen van persoonsgegevens tot de back-ups die worden gemaakt. Draag er zorg voor dat de hele keten van handelingen privacyproof is ingericht en dat waar nodig afspraken zijn gemaakt en overeenkomsten zijn gesloten.

10. Meldplicht datalekken

Dit onderdeel van de checklist AVG 2018 is natuurlijk niet helemaal nieuw. De AVG stelt wel strengere eisen aan de registratie van datalekken die zich binnen jouw organisatie voordoen. Alle datalekken moeten gedocumenteerd worden en door de Autoriteit Persoonsgegevens kunnen worden gecontroleerd. Die maatregel gaat dus een stukje verder dan de protocolplicht uit de Wbp, de voorloper van de AVG op het gebied van privacywetgeving. Die had namelijk alleen betrekking op gemelde datalekken.

Conclusie

Er komt dus heel wat kijken bij het AVG-bestendig maken van jouw bedrijf. Toch kan het eigenlijk niet fout gaan als je de punten uit de bovenstaande AVG-checklist goed en consequent naloopt. Zo ga je goed voorbereid de toekomst in en weten klanten, partners, leveranciers en medewerkers dat hun persoonsgegevens bij jouw organisatie altijd in goede handen zijn.

Schrijf je in voor IT Master in één Dag!

Robert Visscher Directeur IT-Councelor Oost