Stappenplan AVG: wat te doen als u nu nog moet beginnen?

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 1 in een reeks blogs over de nieuwe privacywetgeving.

Stappenplan AVG: wat te doen als u nu nog moet beginnen?
Het is bijna niet te missen: de Algemene Verordening Gegevensbescherming (AVG, of in het Engels GDPR) komt eraan! Of beter gezegd: de AVR is er al een tijdje, maar vanaf 25 mei 2018 zal iedereen er mee te maken krijgen.

Of u nu al aan de voorbereidingen begonnen bent of niet, Valegis Advocaten helpt u graag op weg door u 7 concrete stappen mee te geven die u nu alvast kunt zetten.

Stap 1: hebt u te maken met de AVG?
Het antwoord zal in vrijwel alle gevallen ja zijn. De AVG is namelijk al van toepassing op het beheren van uw personeelsadministratie en op het verzamelen van klantgegevens. Bij vrijwel elke handeling met betrekking tot persoonsgegevens hebt u te maken met de AVG. Indien u zich hier bewust van bent, bent u al een heel eind.

Stap 2: hebt u een privacy officer nodig?
In bepaalde gevallen zult u verplicht een zogenaamde Functionaris voor de Gegevensbescherming (‘privacy officer’) moeten aanstellen of aanwijzen. Maar ook wanneer dit niet verplicht is, kan het een goed idee zijn om iemand binnen uw organisatie aan te wijzen die zich bezighoudt met privacy. Dit kan uiteraard ook een werkgroep zijn.

Stap 3: wat gebeurt er in uw organisatie precies met persoonsgegevens?
Breng in kaart welke persoonsgegevens precies worden verzameld binnen uw organisatie, met welk doel en met wie ze eventueel gedeeld worden. Dit overzicht is nodig in het kader van de documentatieplicht onder de AVG.

Stap 4: voldoen uw bestaande contracten?
Indien u de gegevensverwerking hebt uitbesteed aan een bewerker, bijvoorbeeld een IT-bedrijf dat voor u de IT-infrastructuur beheert, dan bent u verplicht een verwerkersovereenkomst (voorheen: bewerkersovereenkomst) op te stellen. Houd daarom uw bestaande contracten tegen het licht en bekijk of ze voldoen aan de nieuwe privacywetgeving.

Stap 5: hoe communiceert u naar buiten toe?
Iedereen kent ze wel: de cookie-statements. Maar ook offline zult u goed moeten communiceren aan de betrokkene (bijvoorbeeld een klant) wat u van plan bent te gaan doen met zijn/haar persoonsgegevens. In bepaalde gevallen zult u ook expliciete toestemming moeten vragen. Wij raden u aan kritisch naar uw externe communicatie te kijken.

Stap 6: zijn persoonsgegevens wel voldoende beveiligd?
Hoe gemakkelijk kunnen onbevoegden bij de persoonsgegevens? Wie heeft bijvoorbeeld toegang tot uw personeelsadministratie en hoe gemakkelijk is het om uw systeem te hacken om bij de klantgegevens te komen? Breng de beveiliging van uw systemen in kaart en kijk of de beveiliging afdoende is.

Stap 7: Privacy Impact Assessment (PIA) uitvoeren?
Bepaalde organisaties zullen vanaf 25 mei 2018 een Privacy Impact Assessment (PIA) moeten uitvoeren, of in goed Nederlands: een gegevensbeschermingseffectbeoordeling. Dit is bijvoorbeeld het geval voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken, maar ook voor andere organisaties waarbij een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Wij raden u aan vóór 25 mei 2018 na te gaan of ook uw organisatie een PIA moet uitvoeren.

Voor vragen over de AVG kunt u uiteraard contact opnemen met ons privacyrechtteam.

Dit artikel is geschreven door Andrea de Ruijter.