Met de inwerkingtreding van de nieuwe privacywet in zicht, blijkt uit diverse recente nieuwsberichten dat veel bedrijven in diverse branches hier nog niet goed voorbereid op zijn. Is jouw onderneming al klaar voor de AVG? Hieronder vind je een handige checklist om dit na te gaan.
1. Privacyverklaring
Een belangrijke vereiste in de nieuwe wet is de privacyverklaring. In deze verklaring staan alle gegevens over jouw onderneming en de manier waarop er met persoonsgegevens wordt omgegaan. Dit zijn onder andere de naam en contactgegevens van jouw onderneming, het doel van de gegevensverzameling, het recht van de betrokkenen om de verzamelde informatie aan te passen of te verwijderen en de verduidelijking of de gegevensverstrekking een wettelijke of contractuele verplichting betreft.
In de AVG worden twee belangrijke uitgangspunten genoemd: privacy by design en privacy by default. Wat betekenen deze begrippen voor jouw onderneming?
- Privacy by design: gegevensbescherming al bij het ontwerp. Dit houdt in dat jouw onderneming bij het ontwerpen en tijdens het ontwikkelen van de producten of diensten er al voor moet zorgen dat persoonsgegevens goed worden beschermd met behulp van privacy enhancing technologies (PET).
- Privacy by default: de maatregelen van jouw onderneming die ervoor zorgen dat jij, als standaard, alléén persoonsgegevens verwerkt die strikt noodzakelijk zijn voor het voldoen aan het specifieke doel dat je wilt bereiken. Laat klanten bijvoorbeeld online zelf actief gegevens in vullen (niet vooraf al standaard vakjes aanvinken, zoals “Ja, houdt mij op de hoogte van alle aanbiedingen!” en vraag niet meer informatie dan nodig is (bij het versturen van nieuwsbrieven volstaan naam en mailadres vaak al). Je moet kunnen aantonen dat klanten jouw onderneming toestemming hebben geven voor het verzamelen van hun gegevens. Bekijk daarom goed hoe je om deze toestemming vraagt en vermeld duidelijk hoe klanten deze weer kunnen intrekken. Het afschermen van persoonsgegevens is met name ook van toepassing in de ICT-branche: zoals bijvoorbeeld het aangeven van de locatie van gebruikers bij een bedrijfsapp of de standaard browser-instellingen.
Klanten krijgen meer privacyrechten en dus meer controle over hun eigen gegevens. Zorg er dus voor dat jouw onderneming deze rechten kan nakomen. Zo heeft iedereen waarvan u gegevens verzamelt inzagerecht.
En klanten hebben tevens het recht op overdraagbaarheid van persoonsgegevens (dataportabiliteit). Dat betekent dat klanten bij jouw onderneming kunnen aanvragen om hun gegevens op een overzichtelijke en “machineleesbare” manier te delen met een andere partij en hiervoor ook geen verantwoording bij jou hoeven af te leggen. Klanten kunnen bovendien ook een klacht indienen bij de Autoriteit Persoonsgegevens over de wijze waarop jouw onderneming met hun gegevens omgaat.
2. Verwerkersovereenkomst
Als jouw onderneming persoonsgegevens opslaat in software van externe partijen, dan is een verwerkersovereenkomst vereist. Dit kan bijvoorbeeld met de bedrijven achter online opslagprogramma’s (zoals de Cloud en Dropbox) of e-marketing tools (zoals Mailchimp) zijn. Heb je al lopende overeenkomsten met deze partijen? Bekijk dan of deze bestaande contracten voldoen aan de vereisten in de AVG. Mocht dit niet zo zijn, zorg dan voor 25 mei voor aangepaste of nieuwe overeenkomsten. Elke onderneming heeft de plicht om aan te kunnen tonen dat er op een verantwoorde manier met persoonsgegevens wordt omgegaan en om de procedures te verduidelijken wat betreft de opslag van persoonsgegevens. Dit wordt allemaal opgesteld in een verwerkingsregister.
Documenteer zorgvuldig al jouw gegevensverwerkingen. Vermeld hierbij welke gegevens je verwerkt, voor welk doel je ze verzamelt, de bron van de verzamelde gegevens en met wie je de gegevens deelt.
Je moet vanwege de documentatieplicht namelijk kunnen aantonen dat jouw onderneming geheel in overeenstemming met de AVG handelt.
Tevens kun je de documentatie nodig hebben als klanten hun privacyrechten uitoefenen, door bijvoorbeeld te vragen om correcties of verwijderingen van hun verzamelde gegevens. Je moet dit dan ook doorgeven aan alle organisaties waarmee u hun gegevens heeft gedeeld.
3. Privacy Impact Assessment (PIA)
Als de gegevensverwerking van jouw onderneming een hoog privacyrisico met zich meebrengt, ben je verplicht een Privacy Impact Assessment (PIA) uit te voeren. Deze analyse laat zien wat de impact is op de privacy van de betrokkenen en ook de risicogebieden voor zowel jouw onderneming als de betrokkenen zelf. Bovendien wordt er een eventuele alternatieve manier getoond om een opdracht uit te voeren op een minder risicovolle manier wat betreft de privacy. Jouw onderneming moet dan de aangegeven risico’s verkleinen door aanpassingen te doen. Als je geen maatregelen kunt vinden om de risico’s te verkleinen, dan moet je eerst met de Autoriteit Persoonsgegevens contact opnemen en overleggen voordat je met de gegevensverwerking begint. In deze voorafgaande raadpleging bepaalt de Autoriteit of de gegevensverwerking van jouw onderneming in strijd is met de AVG. Als dit zo blijkt te zijn, zal de Autoriteit jou een schriftelijk advies geven.
4. Meldplicht datalekken
De AVG heeft strengere eisen ten opzichte van de registratie van datalekken. Je moet alle datalekken documenteren en binnen 72 uur melden. Tevens moeten alle betrokkenen op de hoogte worden gesteld. De Autoriteit Persoonsgegevens controleert vervolgens of je aan de meldplicht hebt voldaan.
Bron: ZZP Nederland
Recente reacties