16-4-2018

De AVG in zes stappen

Het zal weinigen zijn ontgaan dat vanaf 25 mei 2018 de Algeme­ne Verorde­ring Gegevens­be­scher­ming van toepas­sing zal zijn. Deze vervangt de Wet bescher­ming persoons­ge­ge­vens die we nu (nog) hebben in Nederland. Vanaf 25 mei gelden dezelf­de privacy­re­gels in de hele EU. Over de inhoud van de wet is online veel informa­tie te vinden.

Onderne­min­gen moeten de AVG doorvoe­ren in hun dagelijk­se werkzaam­he­den. Dit is geen gemakke­lij­ke taak. Dialogic helpt je alvast op weg door de belang­rijk­ste punten op een rijtje te zetten.

 

1_ Wees je bewust van de rechten van betrok­ke­nen

Betrok­ke­nen van wie je persoons­ge­ge­vens verwerkt, hebben onder de AVG meer privacy­rech­ten. Zo hebben betrok­ke­nen onder meer het recht om ‘vergeten’ te worden en het recht om hun gegevens te laten overdra­gen. Krijg je een dergelijk verzoek, dan ben je verplicht hier gehoor aan te geven. Houd er rekening mee dat betrok­ke­nen een klacht kunnen indienen bij de Autori­teit Persoons­ge­ge­vens. Zij zijn vervol­gens verplicht deze klacht in behande­ling te nemen. Dit kan er toe leiden dat je onderne­ming een boete krijgt opgelegd.

2_ Privacy by design en privacy by default

Bedenk vooraf hoe je alleen noodza­ke­lij­ke persoons­ge­ge­vens verwerkt en hoe deze beschermd en beheerd moeten worden. Zorg er bijvoor­beeld voor dat er bij een webfor­mu­lier niet automa­tisch reeds staat aangevinkt dat iemand zich aanmeldt voor de nieuws­brief. Vraag in formulie­ren ook niet méér informa­tie dan nodig; vraag in een app bijvoor­beeld niet om een locatie, als dat niet nodig is.

3_ Houd overzicht

Maak inzich­te­lijk wat er binnen je onderne­ming gebeurt met persoons­ge­ge­vens en voor welk doel de gegevens verwerkt worden. Bij het verwer­ken van persoons­ge­ge­vens is het in de meeste gevallen vereist een verwer­kings­re­gis­ter bij te houden.

4_ Voer mogelijk een data protec­ti­on impact assess­ment uit

Het kan zijn dat de door jou beoogde gegevens­ver­wer­king een hoog privacy-risico met zich meebrengt. In dat geval kun je een data protec­ti­on impact assess­ment (DPIA) uitvoe­ren.

5_ Richt een proces in voor het melden van datalek­ken

Onder de AVG gelden strenge­re eisen wat betreft het melden van datalek­ken. Elke datalek moet worden gedocu­men­teerd en betrok­ke­nen moeten zo snel mogelijk op de hoogte worden gesteld. De richtlij­nen (pdf) rondom datalek­ken zijn nog niet defini­tief.

6_ Stel een verwer­kers­over­een­komst op

Werkt je bedrijf samen met een andere partij die de gegevens voor jou verwerkt? Stel dan een verwer­kers­over­een­komst op. Hierin is vastge­legd hoe de verant­woor­de­lijk­heid is verdeeld ten aanzien van de verwer­king van de persoons­ge­ge­vens.

 

Meer weten? Lees het artikel van de Autori­teit Persoons­ge­ge­vens (pdf).

 

Disclai­mer

Deze informa­tie geeft een beknop­te weerga­ve van wat de AVG inhoudt en kan niet worden gezien als een (juridisch) advies. Wij raden je aan om juridi­sche hulp in te schake­len om na te laten gaan of je onderne­ming op de juiste wijze omgaat met persoons­ge­ge­vens.