Het is bijna zover! Op 25 mei 2018 treedt de GDPR (AVG) in werking. Vele klanten zijn al een eind op weg, waar sommigen nog moeten beginnen met het compliant maken van de organisatie. In deze blog lees je wat van jou als organisatie wordt verwacht. Met de bijbehorende korte checklist helpen wij jou op weg.
Wat houdt de GDPR wetgeving in?
De GDPR vervangt de huidige Wet bescherming persoonsgegevens. De GDPR stelt strengere eisen aan de manier waarop persoonsgegevens worden verwerkt door organisaties. Als de wetgeving in werking treedt, betekent het dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De GDPR zorgt onder meer voor: verwerking en uitbreiding van privacy rechten, meer verantwoordelijkheden voor organisaties en stevige bevoegdheden voor alle Europese toezichthouders.
De GDPR checklist
Stap 1: Informeer je team
Voor een succesvolle implementatie moet iedereen binnen de organisatie op de hoogte zijn.
Stap 2: Het in kaart brengen van de persoonsgegevens in je organisatie
Bekijk hoe persoonsgegevens worden verwerkt, waar deze staan opgeslagen en beoordeel of er een verwerkingsregister moet worden aangelegd. In dat register staan welke gegevens zijn verwerkt, waarom, waar ze vandaan komen en welke partijen hierbij betrokken zijn.
Stap 3: Moet er een functionaris gegevensbescherming worden benoemd?
In sommige gevallen is het verplicht om een functionaris gegevensbescherming te benoemen. Bekijk of dit voor jouw organisatie van toepassing is.
Stap 4: Het afsluiten van verwerkersovereenkomsten
Er moet een verwerkersovereenkomst gesloten worden als er dienstverleners worden ingeschakeld die in jouw opdracht persoonsgegevens verwerken.
Stap 5: Nagaan of de uitvoering van een Privacy Impact Assesment (PIA) verplicht is
Wanneer je gegevensverwerking een hoog privacy risico oplevert, ben je verplicht om een PIA uit te voeren. Dit is een instrument om vooraf na te denken over bepaalde privacy-risico’s.
Stap 6: Pas privacy by design en privacy by default toe
Neem passende maatregelen om privacy by design en privacy by default toe te passen. Privacy by design houdt in dat je organisatie onderzoekt op welke manier privacyregels feitelijk en technisch kunnen worden toegepast. Het beschermen van de rechten van betrokkenen staat hierbij centraal. Privacy by default houdt in dat je organisatie technische en organisatorische maatregelen neemt om te zorgen dat alleen persoonsgegevens worden gebruikt die noodzakelijk zijn voor de doeleinden waarvoor ze bestemd zijn.
Stap 7: Het opstellen van procedures
Stel procedures op om de rechten van betrokkenen uit te kunnen voeren.
Stap 8: Neem technische maatregelen
Denk hierbij aan een wachtwoordbeleid, het gebruik van encryptie en het toepassen van two-factor authenticatie. Hiermee voorkom je de kans op datalekken.
Stap 9: Toestemming vragen
Voor verwerking van persoonsgegevens is in sommige gevallen toestemming nodig. De toestemming moet expliciet gegeven worden en moet worden vastgelegd. Denk hierbij aan het verkrijgen van toestemming voor het sturen van een nieuwsbrief.
Stap 10: Protocol meldplicht datalekken
Er moet een register worden bijgehouden van alle datalekken die plaatsvinden. Een lek moet in sommige gevallen aan het individu worden gemeld.
