AVG stappenplan – Zo voldoet uw organisatie in 10 stappen aan de AVG

Voldoet uw onderneming volledig aan de Algemene Verordening Gegevensbescherming (AVG)? Deze EU-brede privacywetgeving geldt sinds 25 mei 2018 voor alle organisaties die persoonsgegevens van EU-inwoners verwerken. Door deze wet heeft iedere onderneming er veel extra verplichtingen bij. Aan alle richtlijnen voldoen heeft dan ook heel wat voeten in de aarde. Wij helpen u hier graag bij op weg. Met dit AVG stappenplan kunt u uw onderneming in 10 stappen AVG-proof maken.

AVG stappenplan

Soms wordt gedacht dat het opstellen van een privacy statement voldoende is om aan de AVG te voldoen. Niets is echter minder waar. De AVG (ook wel GDPR genoemd in het Engels) is niet voor niets in het leven geroepen: in het huidige digitale tijdperk worden – soms onbewust – veel persoonsgegevens bewaard en verwerkt. Zowel grote als kleine ondernemingen zijn door de AVG verplicht om op een veilige en juiste manier met persoonsgegevens om te gaan. Zo worden alle EU-burgers beter beschermd tegen inbreuk op hun privacy.

Waar moet u aan denken als u uw onderneming volledig AVG-proof wilt maken? Dit AVG stappenplan helpt u daarbij.      

Stap 1. Breng in kaart welke gegevens u verwerkt

Bijna iedere organisatie verwerkt wel persoonsgegevens en daar is in sommige gevallen expliciete toestemming voor nodig van de persoon van wie deze gegevens zijn. Zelfs als u alleen een contactformulier op uw website heeft staan of als u enkel uw website statistieken analyseert, is het al nodig om hiervoor toestemming aan uw website bezoekers of formulier gebruikers te vragen.

De eerste stap in dit AVG stappenplan is dan ook om in kaart te brengen welke gegevens uw onderneming precies verwerkt. Bepaal welke gegevens uw onderneming verzamelt, hoe uw onderneming dit doet en welk doel het voor uw onderneming heeft om juist die gegevens te verzamelen. Besef ook dat onder ‘persoonsgegevens’ meer valt dan u misschien denkt. Ook IP-adressen, foto’s of informatie over iemands geslacht of woonplaats zijn bijvoorbeeld al persoonsgegevens.

Niet alleen uzelf, maar ook andere medewerkers binnen uw organisatie moeten zich bewust zijn van de eisen die de AVG stelt aan de verwerking van gegevens. Het is belangrijk om uw medewerkers hier al vroeg in het proces bij te betrekken. Zo kunnen ook zij met de AVG-richtlijnen rekening houden in hun dagelijkse werk.

Stap 2. Verdiep u in de rechten van uw klanten

Uw klanten of andere betrokkenen hebben door de AVG meer rechten gekregen met betrekking tot hun persoonsgegevens. Het is belangrijk om als organisatie te weten welke rechten uw klanten precies hebben. Klanten kunnen namelijk op ieder moment een verzoek indienen op basis van hun rechten. Op zo’n verzoek moet uw organisatie op tijd en op een correcte manier kunnen reageren.

Sinds de invoering van de AVG hebben uw klanten bijvoorbeeld de volgende rechten:

  • Het recht om (zonder opgaaf van reden) een kopie in te zien van de gegevens die uw organisatie van hen heeft verzameld.
  • Het recht om te vragen om wijziging van de gegevens die u van hun bewaart (na een inzageverzoek). Dat geldt bijvoorbeeld als de gegevens niet relevant zijn voor het doel waarmee u ze verzamelt of als de gegevens incompleet of onjuist zijn.
  • Het recht om gegevens niet alleen op te vragen, maar ook te verstrekken aan een andere organisatie als de klant dit wil.
  • Het recht om gegevens te laten verwijderen die uw organisatie van hen heeft verzameld.

Het is belangrijk dat u aan deze verzoeken gehoor kunt geven binnen een vastgestelde termijn van 4 weken. U kunt zich hier het beste alvast op voorbereiden door van tevoren te bepalen wat u precies doet als uw klanten of andere betrokkenen zich op deze rechten willen beroepen. Wie is er verantwoordelijk voor het uitvoeren van deze verzoeken? Binnen hoeveel dagen of weken reageert uw organisatie op een dergelijk verzoek? Dat zijn allemaal vragen om al van tevoren een antwoord op te hebben.

» Meer over de rechten van betrokkenen kunt u lezen op de website van de Autoriteit Persoonsgegevens. 

Stap 3. Maak helder met welk doel u gegevens verwerkt

Volgens de AVG is het alleen toegestaan om persoonsgegevens te verwerken waarvoor uw organisatie een duidelijk doel heeft. De derde stap van dit AVG stappenplan is dan ook om per type gegeven aan te geven welk doel de verwerking van die gegevens heeft. Breng dit nauwkeurig in kaart en geef ook aan hoe uw organisatie toestemming vraagt aan betrokkenen om hun gegevens te verwerken. Deze informatie heeft u nodig als een betrokkene zich op zijn rechten beroept.

Iedere vorm van gegevensverwerking moet te verantwoorden zijn op basis van een wettelijke grondslag. Als u bijvoorbeeld aan uw klanten vraagt om hun adres en e-mailadres in te vullen bij de registratie voor een online nieuwsbrief, dan valt te betwijfelen of u niet eigenlijk alleen het e-mailadres nodig heeft. Enkel wanneer u kunt aantonen ook het postadres voor een duidelijk doel te gebruiken, mag u deze gegevens verzamelen en bewaren.

Stap 4. Zorg voor een goede beveiliging van de persoonsgegevens

Niet alleen verplicht de AVG iedere organisatie om inzichtelijk te maken welke gegevens zij verzamelt. Ook moet uw organisatie persoonsgegevens goed beveiligen om de privacy van klanten te beschermen. Dat vraagt om maatregelen, waarbij onderscheid wordt gemaakt tussen twee soorten privacy maatregelen.

Bij privacy by design geeft u uw producten en diensten op zo’n manier vorm dat de persoonsgegevens bij het ontwerp van het systeem al goed beschermd zijn. Een goede beveiliging van uw inlogportaal met wachtwoorden of twee-stapverificatie is essentieel om gegevens goed te beschermen tegen eventuele inbraken of datalekken.

Daarnaast gaat het er bij privacy by default om dat u alleen die persoonsgegevens verwerkt die absoluut nodig zijn voor het specifieke doel van de gegevensverwerking. Zo heeft u van nieuwsbriefabonnees alleen hun e-mailadres nodig, niet hun postadres. Deze vorm van privacy kunt u garanderen door het vakje om aanbiedingen per e-mail te ontvangen standaard niet aan te vinken. Uw klanten moeten er dan actief zelf voor kiezen dat zij deze aanbiedingen willen ontvangen.

Stap 5. Sluit verwerkersovereenkomsten af met andere partijen

De kans is groot dat uw onderneming samenwerkt met andere partijen die voor uw onderneming persoonsgegevens verwerken. In sommige gevallen worden daarbij heel concreet gegevens overgedragen aan een andere partij, bijvoorbeeld als u een organisatie inschakelt voor HR dienstverlening. Er zijn echter ook situaties waarin die gegevensoverdracht minder bewust gebeurt. Zo verzamelen ook onder meer uw website hosting en Google Analytics gegevens van uw klanten in opdracht van u.

Met al deze partijen moet u vanuit de AVG een verwerkersovereenkomst sluiten. In zo’n overeenkomst maakt u met iedere partij afspraken maken over de verwerking van persoonsgegevens, zodat dit op een correcte manier gebeurt. Daarbij moeten de verwerkersovereenkomsten voldoen aan de daarvoor gestelde eisen. Zo moet in de overeenkomst informatie staan over de duur van de gegevensverwerking en over het type persoonsgegevens dat wordt verwerkt.

Let op: ook eerder gesloten verwerkersovereenkomsten moeten aan de AVG-eisen voldoen. Het is dus aan te raden om eerder gesloten overeenkomsten nog een keer extra na te kijken.

Stap 6. Vraag om toestemming voor de gegevensverwerking

Sinds de invoering van de AVG heeft uw organisatie in sommige gevallen expliciete toestemming nodig van betrokkenen om gegevens van hen te mogen verzamelen. Wanneer u gegevens verzamelt die absoluut nodig zijn om een dienst te kunnen leveren bijvoorbeeld, is er geen expliciete toestemming nodig.

Bij het vragen om toestemming is het niet voldoende om hier alleen melding van te maken in uw privacy statement. U moet kunnen aantonen dat mensen op een geldige manier toestemming geven voor het verwerken van hun gegevens hebben gegeven. Ook moet u altijd de mogelijkheid bieden om eenmaal gegeven toestemming weer in te trekken.

Als u gegevens van jongeren onder de 16 jaar verwerkt, heeft u voor het verwerken van hun persoonsgegevens ook altijd expliciete toestemming van hun ouder of verzorger nodig.

Stap 7. Stel eventueel een Functionaris Gegevensbescherming aan

De volgende stap in het AVG stappenplan is nagaan of uw organisatie een Functionaris Gegevensbescherming (FG) moet aanstellen. Sommige organisaties zijn hier namelijk toe verplicht. Dit geldt volgens de Autoriteit Persoonsgegevens in ieder geval voor de volgende typen organisaties:

  • Overheidsinstanties en publieke organisaties (bijvoorbeeld gemeenten en zorg- en onderwijsinstellingen)
  • Organisaties die met het oog op hun kernactiviteiten individuen op grote schaal volgen of hun activiteiten in kaart brengen (bijvoorbeeld bij profilering voor risico-inschattingen en bij cameratoezicht).
  • Organisaties die vanuit een kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken. Daarbij gelden als ‘bijzondere persoonsgegevens’ die gegevens waarbij de verwerking ervan veel invloed kan hebben op iemands privacy. Een voorbeeld is het Burgerservicenummer, omdat dit nummer direct tot een persoon te herleiden is.

De FG heeft als taak om te checken of uw onderneming de AVG-richtlijnen correct toepast en naleeft. Ook geeft de FG advies aan medewerkers over de verplichtingen die de AVG met zich meebrengt. U kunt een externe GDPR Consultant inschakelen die dient als DPO binnen uw organisatie, maar ook kunt u zelf iemand werven die de juiste kennis heeft om deze rol te vervullen.

Stap 8. Alleen voor internationale organisaties: bepaal uw leidende toezichthouder

Verzamelt uw organisatie persoonsgegevens van mensen uit verschillende EU-lidstaten of heeft u vestigingen in meerdere lidstaten? Dan heeft uw organisatie maar met één privacy toezichthouder te maken: de leidende toezichthouder. Daarbij is de leidende toezichthouder altijd de toezichthouder in de EU-lidstaat waarin de hoofdvestiging gevestigd is van degene die binnen uw organisatie voor de gegevensverwerking verantwoordelijk is. In dit schema kunt u aflezen wie uw leidende toezichthouder is.

Stap 9. Voer waar nodig een Data Protection Impact Assessment uit

Brengt uw onderneming of een specifiek project een verhoogd privacy risico met zich mee voor de mensen van wie u gegevens verwerkt? Dan bent u verplicht een Data Protection Impact Assessment (kortweg DPIA) uit te voeren. Dit is een procedure waarbij u voorafgaand aan het project de (mogelijke) privacy risico’s in kaart brengt. Ook geeft u aan welke maatregelen uw onderneming treft om de risico’s te beperken.

Een DPIA moet altijd voldoen aan de richtlijnen van de AVG, die op deze pagina te downloaden zijn. Als uw onderneming een FG in dienst heeft, dan is de FG verplicht om advies te geven bij het uitvoeren van het DPIA.

Als uit het Assessment blijkt dat uw onderneming onvoldoende maatregelen kan treffen om grote privacy risico’s te beperken, dan moet u hiervoor overleggen met de Autoriteit Persoonsgegevens. Pas na goedkeuring van de Autoriteit Persoonsgegevens mag uw onderneming daadwerkelijk met het project starten.

Stap 10. Stel een procedure voor datalekken op

Helaas kan er, ondanks goede beveiligingsmaatregelen, een datalek optreden. Dit houdt in dat persoonsgegevens terecht zijn gekomen bij derden die daar geen toegang toe zouden mogen hebben. Dit kan bijvoorbeeld het geval zijn bij een cyberaanval, als een laptop is gestolen of als een e-mail per ongeluk naar de verkeerde persoon is gestuurd.

Uw onderneming is verplicht om ieder datalek in een incidentenregister vast te leggen. Daarbij moet worden genoteerd wat het datalek inhoudt, wie de betrokkenen zijn, welke mogelijke risico’s dit met zich meebrengt en wat uw organisatie als vervolgstappen neemt. Bij een lek waarbij er mogelijke risico’s voor de betrokkenen zijn dient u het lek ook binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens en in sommige gevallen ook bij de personen van wie de gegevens zijn gelekt. Een datalek melden kunt u doen via het Meldloket datalekken.

Om ervoor te zorgen dat uw onderneming de juiste stappen onderneemt bij een datalek, kunt u het beste een procedure voor datalekken opstellen. Daarin vermeldt u bijvoorbeeld wie het interne meldpunt voor datalekken is, welke informatie bij datalekken moet worden vermeld en wie de melding bij de Autoriteit Persoonsgegevens doet.

Het belang van voldoen aan de AVG

Aan de AVG-richtlijnen voldoen is zeker niet vrijblijvend en is daarom erg belangrijk. In Nederland houdt de Autoriteit Persoonsgegevens nauwlettend in de gaten of organisaties voldoen aan de AVG. Een overtreding kan de onderneming in kwestie duur komen te staan, omdat ondernemingen bij een overtreding een fikse boete kunnen krijgen van de Autoriteit Persoonsgegevens. Deze boete kan oplopen tot maximaal € 20.000.000 of 4% van de wereldwijde omzet van uw onderneming. Het is dan ook van groot belang dat uw onderneming niets over het hoofd ziet en de AVG-richtlijnen correct naleeft.

Conclusie

Zoals dit AVG stappenplan laat zien, brengt de AVG veel verplichtingen en taken voor uw onderneming met zich mee. U moet inzichtelijk maken welke gegevens uw onderneming verzamelt en waarom, u moet uw data goed beveiligen en u bent verplicht verwerkersovereenkomsten te sluiten met derde partijen. Daar komt nog bij dat uw klanten of andere betrokkenen altijd een verzoek kunnen indienen om bepaalde persoonsgegevens in te zien, te laten wijzigen of te verwijderen.

Dit AVG stappenplan helpt u om de juiste procedures te doorlopen en laat u zien waar u op moet letten.

Komt u er niet helemaal uit of heeft u een specifieke vraag over een bepaald onderdeel van dit AVG stappenplan? Dan helpen onze GDPR Consultants u graag verder. Neem contact met ons op via 085 071 1080 en maak een afspraak.

avg_audit1
Privacy consultant DPO consultancy