Leuk hoor, zo'n privacywet, maar er is zoveel over te lezen dat je soms door de bomen het bos niet meer ziet! In dit artikel hebben we een checklist gemaakt die precies laat zien wat je nodig hebt als jouw bedrijf online actief is.
1. Breng de gegevensstromen in kaart
Bepaal welke van gegevensstromen welke persoonsgegevens bevatten. Leg voor elke verwerking vast met welk doel je die gegevens verwerkt. Het gaat om alle persoonsgegevens, dus ook om personeelsgegevens, sollicitanten, nieuwsbrief gebruikers, contact aanvragen etc.
2. Stel een Functionaris Gegevensbescherming aan (indien nodig)
In de volgende gevallen is er op grond van de AVG een verplichting om een FG te benoemen:
- Overheidsinstanties en overheidsorganen (behalve gerechtelijke organisaties bij de uitoefening van hun gerechtelijke taken)
- Als de kernactiviteiten draaien om het gebruik van "bijzondere persoonsgegevens" op grote schaal, denk hierbij bijvoorbeeld aan ziekenhuizen die medische onderzoeken uitvoeren
- Als de kernactiviteiten draaien om het gebruik van persoonsgegevens dat door de aard van dat gebruik, de omvang daarvan en/of de doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokken personen eisen. Hieronder vallen bijvoorbeeld:
- Het tracken en opbouwen van profielen van mensen via het internet
- Het opbouwen van profielen en scores, bijvoorbeeld voor krediet checks, het aangaan van verzekeringen of voorkoming van fraude
- Het bijhouden van locatiegegevens
- Behavioral advertising
- Het bijhouden van gegevens via draagbare apparaten
De FG hoeft niet in dienst te zijn, hoeft geen fulltime functie te zijn en kan dus ook iemand zijn die op basis van een opdrachtovereenkomst voor u werkt.
Tip: Overweeg een FG aan te stellen ook als dit geen verplichting is. Dit kan zeker een toegevoegde waarde zijn voor jouw organisatie.
3. Pas de huidige privacyverklaring aan
Elke onderneming die klantgegevens opslaat is verplicht een privacyverklaring te hebben. Degene die je nu hebt voldoet zeer waarschijnlijk niet aan de nieuwe richtlijnen. Je privacy statement moet voor iedereen leesbaar en begrijpelijk zijn. Gebruik geen woorden die je doelgroep niet kent en hou het zo simpel mogelijk.
4. Maak verwerkersovereenkomsten
De persoonsgegevens worden ergens opgeslagen. Met de plek waar deze gegevens opgeslagen worden moet je een verwerkersovereenkomst hebben. Bijvoorbeeld met de boekhouder aangezien deze de facturen voor jou verwerkt of de cloud partner waar je alle contracten en dergelijke opslaat. Breng in kaart welke partners je gebruikt en waar je persoonsgegevens opslaat of doorstuurt. Maak vervolgens per partner een verwerkersovereenkomst.
5. Toestemmingsregister
Is het verwerken van persoonsgegevens gebaseerd op toestemming? Dan moet je dat kunnen bewijzen. Door middel van een duidelijke handeling of verklaring moeten bezoekers toestemming geven tot de verwerking van de persoonsgegevens. Daarnaast moet de bezoeker zich net zo makkelijk kunnen afmelden als aanmelden. Dit kan technisch geregeld worden door jouw website bouwer.
6. Data Protection Impact Assessment (DPIA)
Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. De verplichting geldt in ieder geval voor bedrijven die op grote schaal mensen volgt of bijzondere persoonsgegevens verwerkt. Voorbeelden van bedrijven waarvoor dit geldt zijn ziekenhuizen, verzekeringsmaatschappijen, banken, telefoonmaatschappijen enz.
AVG implementatie informatie
Het implementeren kan een tijdrovende klus zijn. Je kan veel vinden op de website van de Autoriteit Persoonsgegevens, maar wij snappen ook dat dit iets is waar jij als ondernemer totaal geen tijd voor hebt. Gelukkig hebben wij specialisten voor dit onderwerp en nemen wij dit volledig bij u uit handen. Bel ons op 070 - 399 79 34 of neem contact met ons op via het contactformulier.
