Van bewustwording naar het nemen van actie

U bent zich er vast van bewust dat de Algemene Verorderning Gegevensbescherming (AVG) vanaf 25 mei 2018 van toepassing is en dat u acties moet ondernemen om ervoor te zorgen dat ook uw organisatie in overeenstemming is met de AVG.

  • Heeft u de nodige acties al genomen of liggen uw prioriteiten, zoals bij meerdere organisaties het geval is, ergens anders?
  • Vindt u de AVG ook zo’n gedoe en legt u de actiepunten steeds onderop de stapel?
  • Weet u welke acties u moet nemen?

Nog maar één maand te gaan tot de AVG van toepassing is. U hebt dus alle reden om de AVG niet langer onderop te schuiven, maar juist bóvenop de stapel te leggen. In dit blog vindt u een overzicht van alle acties die moeten worden genomen en krijgt u het inzicht dat deze allemaal te overzien zijn.

 De actiepunten van de AVG zijn te overzien”

Een overzicht van alle acties van de AVG

Stel een verwerkingsregister op en houd deze bij

Allereerst moet er een ‘verwerkingsregister’ worden opgesteld en bijgehouden. Het is een intern document waarin alle plaatsgevonden verwerkingsactiviteiten van persoonsgegevens staan vermeld. Eventuele wijzigingen in de verwerking, die na het opstellen van het verwerkingsregister worden doorgevoerd, moeten ook in dit verwerkingsregister worden opgenomen.

Stel een datalekregister op en houd deze bij

Daarnaast moet er een ‘datalekregister’ worden opgesteld waarin alle datalekken die hebben plaatsgevonden, moeten worden vastgelegd. In dit register moeten de feiten, zoals het waar, wanneer en hoe, omtrent het datalek, worden opgenomen. Ook is het aan te raden om in het register de genomen maatregelen naar aanleiding van een datalek te omschrijven.

Stel een privacyverklaring op

Een organisatie heeft, op grond van de AVG, een informatieplicht naar de betrokkenen. De betrokkenen moeten worden geïnformeerd over wat er met hun persoonsgegevens gebeurt en welke rechten zij hebben. Dit kan vastgelegd worden in een privacyverklaring. Deze privacyverklaring kan vervolgens op de website van een organisatie worden geplaatst, zodat de betrokkenen deze altijd kunnen raadplegen.

Neem beveiligingsmaatregelen

Ook moeten organisaties technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. Denk bij technische maatregelen aan het toepassen van encryptie, opzetten van een firewall of het opslaan van gegevens in beveiligde omgevingen. Organisatorische maatregelen bestaan uit bijvoorbeeld het beperken van interne en externe toegang tot de persoonsgegevens.

Stel een verwerkersovereenkomst op

Sommige organisaties moeten ook een verwerkersovereenkomst sluiten. De verwerkingsverantwoordelijke is degene die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit plaatsvindt en de manier waarop dit gebeurt. Wanneer deze verwerkingsverantwoordelijke aan een andere organisatie een opdracht verstrekt, waarbij ook persoonsgegevens worden doorgegeven die de ontvangende organisatie niet voor eigen doeleinden mag gebruiken, dan moet tussen deze partijen een verwerkersovereenkomst worden gesloten. Denk bijvoorbeeld aan een salarisadministratiekantoor (de verwerker) die voor een organisatie (de verwerkingsverantwoordelijke) de salarisadministratie doet.

Voer een DPIA (Data Protection Impact Assessment) uit

Een DPIA is een instrument dat gebruik wordt om vooraf bepaalde privacy risico’s in te schatten en deze risico’s te verkleinen of uit te sluiten door passende maatregelen te treffen. Een DPIA is verplicht als de verwerking van persoonsgegevens een hoog privacy risico oplevert voor de betrokkenen. Denk hierbij aan profiling, cameratoezicht of wanneer er op grote schaal bijzondere persoonsgegevens worden verwerkt. Het uitvoeren van een DPIA is daarmee niet voor elke organisatie verplicht.

Stel een Functionaris voor Gegevensbescherming aan

Wat ook niet voor elke organisatie verplicht is, is het aanstellen van een Functionaris voor Gegevensbescherming. Een functionaris houdt binnen een organisatie toezicht op de toepassing en naleving van de AVG. Een functionaris is verplicht voor overheidsinstanties en publieke organisaties, voor organisaties die op grote schaal individuen volgen en voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken. Als het aanstellen van een functionaris niet verplicht is, mogen organisaties de functionaris ook vrijwillig aanstellen.

Stel een intern privacybeleid op en wijs een privacy officer aan

Het hebben van een intern privacybeleid en het aanwijzen van een privacy officer zijn twee actiepunten die op grond van de AVG niet verplicht, maar aan te raden zijn. Zeker als een organisatie personeel in dienst heeft.

Doe een privacyscan bij Spectrum Advocaten

“Het aanstellen van een privacy officer is aan te raden wanneer een organisatie personeel in dienst heeft”.  

In het intern privacybeleid kan alle informatie worden vastgelegd die op het gebied van privacy voor de organisatie van belang is. Personeel kan dit document bij vragen hieromtrent raadplegen. Ook het aanstellen van een privacy officer is aan te raden. De privacy officer is het aanspreekpunt binnen een organisatie waar zowel het personeel als ook de betrokkenen bij terecht kunnen met vragen en verzoeken. Door een privacy officer aan te stellen, worden de zaken met betrekking tot privacy centraal gecontroleerd.

Heeft u een vraag over dit blog, wilt u worden geadviseerd over uw privacybeleid of wilt u dat wij u helpen bij het uitvoeren van voornoemde actiepunten, neem dan contact met ons op. Dit kan via de contactbutton op deze pagina of u kunt een e-mail sturen naar irene@spectrumadvocaten.nl. Wij zijn u graag van dienst!

Contractenrecht & aansprakelijkheid