Goed voorbereid op de nieuwe privacywetgeving: de AVG!:

Wat is de AVG?

AVG? Algemene Verordening Gegevensbescherming, ook bekend onder haar Engelse naam General Data Protection Regulation (‘GDPR’). Dit is een nieuwe Europese wetgeving omtrent bescherming van persoonsgegevens, ter vervanging van de huidige WBP (Wet Bescherming Persoonsgegevens). De wet gaat van kracht per 25 mei 2018.

Wat verandert er?

Vrijwel elk bedrijf verwerkt persoonsgegevens, denk aan gegevens van medewerkers, klanten en derden. De AVG versterkt de positie van de personen van wie gegevens worden verwerkt en u krijgt daardoor meer verplichtingen. U riskeert hoge boetes indien u niet aan deze regels voldoet.

Aan de slag met de AVG. Wat kunt u zoal doen?

Stap 1.  Bewustwording

Het is belangrijk dat uw organisatie op de hoogte is van de nieuwe privacyregels. Begin met het inzichtelijk maken van alle persoonsgegevens die u verwerkt, met welk doel u dit doet, waar deze opgeslagen worden en met wie ze gedeeld worden. In sommige gevallen bent u zelfs wettelijk verplicht een zogenaamd ‘verwerkingsregister’ bij te houden. Informeer uw personeel over de nieuwe regels en de genomen maatregelen.

Stap 2.  Verwerkersovereenkomst

Indien u gegevensverwerking uitbesteedt aan een ‘verwerker’ moet u met deze verwerker een overeenkomst sluiten waarin u afspraken vastlegt over hoe die derde met de gegevens dient om te gaan. Een voorbeeld hiervan is het door Baat laten uitvoeren van uw loonadministratie. Baat biedt u een kant en klare verwerkersovereenkomst zodat u uw relatie met Baat gemakkelijk AVG-proof maakt.

Stap 3.  Privacyverklaring, de ‘informatieplicht’

Verzamelt u persoonsgegevens? Dan heeft u een privacyverklaring nodig, waarmee u vastlegt wat u verzamelt en hoe u met die gegevens omgaat. Denk ook aan uw website, gebruikt u bijvoorbeeld een contactformulier?

Stap 4.  Meldplicht datalekken

Vrijwel elk bedrijf heeft wel eens te maken met een ‘datalek’. Denk aan een verloren USB-stick of een

e-mail naar een verkeerde geadresseerde. Alle datalekken moeten gedocumenteerd worden en in sommige gevallen bent u verplicht het lek te melden bij de Autoriteit Persoonsgegevens en de betrokkene. Stel een draaiboek op dat u volgt in geval van een datalek.

Stap 5.  Functionaris voor de gegevensbescherming nodig?

In sommige gevallen bent u verplicht om een functionaris voor de gegevensbescherming aan te stellen (FG), ook wel ‘privacy officer’ genoemd. U kunt ook vrijwillig een privacy officer aanstellen.

Stap 6.  Toestemming

Voor sommige gegevensverwerkingen heeft u toestemming nodig van de betrokkene. De AVG stelt strengere eisen aan deze toestemming. Evalueer daarom wanneer en hoe u toestemming vraagt, krijgt en registreert en pas deze wijze indien nodig aan.

Stap 7.  Data Protection Impact Assessment (DPIA)

Verwerkt u gegevens die waarschijnlijk een hoog privacy risico opleveren, zoals gegevens van kwetsbare groepen, of het stelselmatig en grootschalig monitoren van personen? U bent dan verplicht om een zogeheten ‘DPIA’ uit te voeren. Dit is een instrument om vooraf de privacy risico’s van een gegevensverwerking in kaart te brengen. Vervolgens kunt u maatregelen nemen om die eventuele risico’s te verkleinen.

Stap 8.  Privacy By Design & Privacy By Default

Richt uw organisatie zo in dat u bij het ontwerpen van producten en diensten er voor zorgt dat persoonsgegevens goed worden beschermd. Maar ook dat u niet meer gegevens verzamelt of langer bewaart dan noodzakelijk voor het doel van de verwerking. Leg het gekozen beleid ook schriftelijk vast. Neem alle maatregelen die noodzakelijk zijn om de verwerkte gegevens te beveiligen, zowel op technisch als organisatorisch vlak.

Vragen?

Neem contact op met:

Nadine T.G. van Pol

Bedrijfsjurist

E: n.vanpol@baat-legal.nl

T: +31 475 729 242

 

 

Andere berichten van Baat accountants & adviseurs: