U kunt het niet gemist hebben: op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) in. Iedere organisatie die persoonsgegevens verwerkt, moet zich vanaf dan houden aan deze nieuwe Europese privacywet. Dus ook kleine mkb’ers en zzp’ers. Bent u er al klaar voor? Zo wordt u in 5 stappen AVG-proof!
Vanaf 25 mei geldt de huidige Wet bescherming persoonsgegevens niet meer, maar is in de hele Europese Unie één privacywet van toepassing: de AVG. Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Concreet betekent dit dat u aan een aantal eisen moet voldoen. De belangrijkste aandachtspunten zetten we hier voor u op een rij.
Stappenplan: in 5 stappen AVG-proof
Stap 1: Creëer intern bewustwording
Informeer uw medewerkers over de wetgeving en de impact van de AVG op uw huidige processen. Zorg voor een vast aanspreekpunt bij wie uw medewerkers terecht kunnen bij vragen.
Stap 2: Maak een register met persoonsgegevens die u verwerkt
Breng in kaart welke persoonsgegevens u verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie u ze deelt. Belangrijk is de wijze waarop u de toestemming van uw klanten vraagt, krijgt en registreert. Met dit verwerkingsregister krijgt u inzicht in wat u heeft geregeld met betrekking tot de verwerking van persoonsgegevens. Ook maakt u hiermee inzichtelijk welke partijen (verwerkers) beschikken over uw persoonsgegevens en welke maatregelen u heeft getroffen om deze te beschermen.
Stap 3: Breng risico’s in kaart en zorg voor beveiligingsmaatregelen
Al tijdens de ontwikkeling van nieuwe producten en diensten moet u aandacht besteden aan privacyverhogende maatregelen. Daarnaast is het belangrijk dat u niet méér gegevens verzamelt dan noodzakelijk is, en dat u de gegevens niet langer bewaart dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de persoonsgegevens ook daadwerkelijk vernietigen.
Stap 4: Documenteer alle datalekken
Er is sprake van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. De AVG stelt strengere eisen aan uw registratie van datalekken. U bent straks verplicht alle datalekken te documenteren. In een datalekregister legt u alle datalekken vast die plaatsvinden én alle feiten daaromheen.
Stap 5: Breng verwerkingen door derden in kaart en sluit verwerkersovereenkomsten
Heeft u verwerkingen van persoonsgegevens, zoals de salarisadministratie, uitbesteed aan derden? Check dan zorgvuldig alle contracten en gemaakte afspraken en zorg ervoor dat alles goed is vastgelegd d.m.v. zogenaamde verwerkersovereenkomsten.
Wilt u meer weten over de AVG?
Kijk dan ook eens op de website van de Autoriteit Persoonsgegevens. Daar vindt u een schat aan informatie over de nieuwe wetgeving en tal van tips waarmee u zich optimaal kunt voorbereiden.