Nu de AVG-wet een maand van kracht is, wordt het hoog tijd om te checken of je wel echt aan de nieuwe privacywetgeving voldoet. Wat is er allemaal veranderd en waar moet je nu écht op letten? In deze checklist hebben we de belangrijkste actiepunten voor je op een rij gezet!
Voldoet je privacyverklaring aan de nieuwe richtlijnen?
Verwerk je persoonsgegevens? Dan is het belangrijk dat je een goede privacyverklaring (privacybeleid) hebt. Met een privacyverklaring laat je de gebruiker of klant onder andere weten:
- welke privacygegevens je verzamelt en waarom
- welke wettelijke rechten de gebruikers hebben
- hoe ze deze rechten kunnen uitoefenen
- van welke cookies je gebruikt maakt en waarom
Let er ook op dat de privacyverklaring voor iedereen leesbaar en begrijpelijk moet zijn.
Voldoet je privacyverklaring aan de verantwoordingsplicht?
De nieuwe AVG-regels dwingen je goed na te denken over hoe je als bedrijf persoonsgegevens verwerkt en beschermd. De verantwoordingsplicht houdt in dat je je moet kunnen verantwoorden over je privacybeleid. Zo moet je o.a. schriftelijk kunnen aantonen:
- of de gegevens noodzakelijk zijn voor je doel
- of je van tevoren toestemming hebt gevraagd en gekregen voor de verwerking
- hoe je de gegevens (technisch) beschermt
Waarborg je de rechten van betrokkenen?
Het is belangrijk dat iedereen, van wie je persoonsgegevens verzamelt, zijn rechten eenvoudig kan uitoefenen. Verwijs hiervoor duidelijk naar een contactpersoon en zorg dat vragen en verzoeken binnen 1 maand worden beantwoord. Alleen wanneer het verzoek erg ingewikkeld is, kun je nog 2 maanden extra krijgen. Behalve administratieve kosten mag je hier geen kosten voor in rekening brengen.
Is het duidelijk welke rechten de betrokkenen hebben?
In de nieuwe AVG-wet zijn de rechten van betrokkenen gewijzigd. Met betrokkenen worden personeel, klanten, bezoekers, leden, patiënten en leerlingen bedoelt. Zo hebben ze recht:
- op inzage in hun persoonsgegevens
- op rectificatie van onjuiste persoonsgegevens
- op het maken van bezwaar tegen verwerking van de persoonsgegevens
- op beperking van de verwerking
- op verwijdering van alle gegevens
- op gegevensoverdraagbaarheid (het recht om persoonsgegevens te ontvangen die een organisatie van hen verwerkt)
Verkrijg je geldige toestemming om persoonsgegevens te verwerken?
De nieuwe AVG-wet stelt strengere eisen aan toestemming om persoonsgegevens te mogen verwerken. Zo moet je kunnen aantonen dat je geldige én bewuste toestemming hebt verkregen. Daarnaast moet het voor een betrokkene ook even makkelijk zijn om de toestemming weer in te trekken. Ook is het belangrijk dat je de toestemming (en de manier waarop je die hebt verkregen) vastlegt.
Verwerk je alleen noodzakelijke gegevens?
Houd er rekening mee dat je alleen noodzakelijke gegevens mag verwerken. Neem daarom technische en organisatorische maatregelen, om te voorkomen dat bij een klantregistratie bijvoorbeeld standaard het vakje ‘Ja, ik wil aanbiedingen ontvangen’ aangevinkt staat. Zorg ook voor een goede cookieverklaring.
Is jouw organisatie verplicht om een functionaris voor de gegevensbescherming aan te stellen?
Een Functionaris Gegevensbescherming (FG) houdt binnen een organisatie toezicht op de toepassing en naleving van de AVG-wet. Niet iedere organisatie is verplicht om een Functionaris Gegevensbescherming aan te stellen. Een FG is voor 3 soorten organisaties verplicht:
- overheden en publieke organisaties, zoals gemeenten, zorg- en onderwijsinstellingen
- organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen
- organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dat als kernactiviteit hebben
Ben je verplicht om een gegevensbeschermingseffectbeoordeling uit te voeren?
Een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd wanneer de verwerking van persoonsgegevens gepaard gaat met hoge risico’s i.v.m. de rechten en vrijheden van personen. In de praktijk wordt dit ook wel Data Protection Impact Assessment (DPIA) genoemd. Het is bedoeld om vooraf de privacyrisico’s in kaart te brengen en maatregelen te treffen om de risico’s te verkleinen. De DPIA is verplicht in de volgende situaties:
- bij systematische en uitgebreide beoordeling van persoonlijke aspecten (bijvoorbeeld profilering), waarop besluiten worden genomen met bijvoorbeeld rechtsgevolgen
- bij grootschalige verwerking van bijzondere persoonsgegevens of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten
- bij het systematisch en op grote schaal volgen van mensen in openbaar toegankelijke ruimten, bijvoorbeeld d.m.v. cameratoezicht
Zijn je gegevens goed beveiligd?
Het is belangrijk dat je kunt aantonen dat je al bij het ontwikkelen van diensten of producten ervoor hebt gezorgd dat gegevens goed worden beschermd. Een voorbeeld hiervan is dat je een beschermde https website hebt gebouwd toen je met je webshop begon.
Heb je een protocol omtrent het melden van datalekken?
De nieuwe wet verplicht een protocol melding datalekken. Hiermee moet je kunnen aantonen dat er een procedure is voor het melden van datalekken. Zodra gegevens dan kwijtraken of in verkeerde handen terecht komen, moet je dit binnen 72 uur aan de Autoriteit Persoonsgegevens melden. In zo’n geval zul je ook alle datalekken moeten registreren en betrokken waarschuwen als het lek gevolgen voor hun privacy heeft.
Heb je een verwerkersovereenkomst nodig?
Als je organisatie de verwerking van persoonsgegevens uitbesteedt aan een derde partij, dan heb je volgens de nieuwe AVG-wet ook een verwerkingsovereenkomst nodig. In deze overeenkomst moet worden omschreven wat de afspraken zijn tussen jouw organisatie en de verwerker (derde partij). Denk hierbij aan afspraken over zaken als verantwoordelijkheden, geheimhouding, beveiligingsmaatregelen en de locatie van de opslag van de gegevens.
Ben jij verantwoordelijke, verwerker of subverwerker?
Je bent verantwoordelijke op het moment dat jij bepaalt welke persoonsgegevens worden verzameld en waarom. Je hoeft hiervoor geen onderneming te zijn. Ook als particulier, stichting, vereniging of overheidsinstantie kun je verantwoordelijke zijn. Kortom, iedereen die persoonsgegevens verzameld voor een bepaald doel is verantwoordelijke.
Zodra je personen of ondernemingen inschakelt om voor jouw persoonsgegevens te verwerken, noemen we dit een verwerker. Deze derde (externe) partij mag buiten de desbetreffende opdracht niets anders met de persoonsgegevens doen. Gebeurt dit wel, dan wordt deze partij zelf ook verantwoordelijke.
Bij veel bedrijven komt het voor dat zij zowel verantwoordelijke als verwerker zijn. Een hostingprovider is bijvoorbeeld verwerker, omdat zij persoonsgegevens verwerken voor websites die verantwoordelijke zijn. Echter zal het hostingbedrijf ook personeel hebben. Voor de gegevens van dat personeel is het hostingbedrijf verantwoordelijke.
Tot slot bestaat er ook nog zoiets als een subverwerker. Dat is een partij die in opdracht van een verwerker persoonsgegevens verwerkt voor de verantwoordelijke.
AVG hulp nodig voor jouw website?
Doordat je via je website wellicht ook persoonsgegevens verzamelt door middel van bijvoorbeeld contactformulieren of cookies, heeft de wet ook consequenties voor je website. Wij denken graag met je mee om je website te verbeteren voor de AVG. Hiervoor hebben wij (voor onze huidige relaties) twee pakketten opgesteld:
- AVG-WordPress-Optimalisatie-
Pakket: voor relaties die hun WordPress website bij ons hebben gehost - AVG-Website-Advies-Pakket: voor relaties waar wij de Google AdWords en/of SEO campagnes voor oppakken en voor webhosting relaties die alleen advies willen
Heb je andere vragen over de nieuwe AVG-wet? Neem dan gerust contact op met B&S Media. Wij helpen je graag verder!