De ultieme checklist voor de GDPR

De ultieme checklist voor de GDPR
, DDMA
@ddma

Nu 2018 begonnen is, komt de deadline echt dichtbij. Vanaf 25 mei moeten alle organisaties zich houden aan de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG / GDPR). Deze wet vervangt de huidige Wet bescherming persoonsgegevens en stelt strengere eisen aan de manier waarop persoonsgegevens worden verwerkt. Voor deel 10 van deze blogserie hebben wij als legal counsels van brancheorganisatie DDMA een ultieme AVG-checklist opgesteld met de 10 belangrijkste punten.

Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.

#1 Maak belangrijke personen binnen jouw organisatie bekend met de AVG

Voor een succesvolle implementatie van de AVG moet iedereen die binnen de organisatie met persoonsgegevens werkt zich bewust zijn van wat er wel en niet is toegestaan. Breng beslissers en uitvoerders op het gebied van data, beveiliging en juridische zaken daarom bij elkaar en zorg voor een plan van aanpak.

#2 Breng in kaart hoe persoonsgegevens worden verwerkt en beoordeel of je een verwerkingenregister moet aanleggen

Onder de AVG moeten organisaties kunnen aantonen dat zij zich aan de privacywetgeving houden. In veel gevallen is het verplicht om een ‘verwerkingenregister’ bij te houden. In dit register moet staan wat voor persoonsgegevens je verwerkt, waarom, wat de bron is, welke partijen betrokken zijn, of de gegevens buiten de EU terechtkomen en wat de bewaartermijn is. Daarnaast moet je aantonen dat je persoonsgegevens verwerkt met een rechtmatige grondslag, bijvoorbeeld toestemming of omdat de verwerking nodig is om een (verkoop)overeenkomst uit te voeren.

#3 Check of jouw organisatie verplicht is om een functionaris gegevensbescherming aan te stellen

Voor sommige organisaties is een data protection officer of functionaris gegevensbescherming (FG) verplicht. Bijvoorbeeld als je bijzondere persoonsgegevens op grote schaal verwerkt, als de verwerking van persoonsgegevens om andere redenen een hoog risico met zich meebrengt, bijvoorbeeld omdat je op grote schaal persoonsgegevens verwerkt. Controleer of deze verplichting voor jouw organisatie geldt. Zo ja: vergeet de FG niet aan te melden bij de Autoriteit Persoonsgegevens. Zie ook dit interview met Reinier Treep, data protection officer bij DDMA-lid Nuon/Vattenfall, om een beter beeld te krijgen van de dagelijkse werkzaamheden van een FG.

#4 Implementeer privacy by design en privacy by default

Ook onder de AVG mag je niet meer gegevens verwerken dan nodig is. Dit noemt men ‘dataminimalisatie’. De AVG introduceert met privacy by design en privacy by default twee nieuwe wettelijke verplichtingen waarbij dataminimalisatie een belangrijke rol speelt. Privacy by design betekent dat je al rekening houdt met gegevensbescherming bij het ontwerp van producten en diensten. Bijvoorbeeld door gegevens zo veel mogelijk te pseudonimiseren en anonimiseren. Privacy by default betekent dat de standaardinstellingen van een dienst of product privacy-vriendelijk moeten zijn. Bijvoorbeeld door een instelling voor het delen van gegevens met derden niet standaard ‘aan’ te zetten.

#5 Sluit verwerkersovereenkomsten af

Je moet een verwerkersovereenkomst sluiten als je dienstverleners, zoals een marketingbureau of een websitebouwer, inschakelt die in jouw opdracht persoonsgegevens verwerken. Dat is onder de huidige wetgeving ook al het geval, maar met de AVG komen er een aantal verplichte onderdelen bij. Hierin moet onder andere staan dat gegevens voldoende beveiligd worden, dat er toestemming wordt gevraagd voor het inschakelen van een subverwerker en dat de verwerker alleen handelt conform instructies van de verantwoordelijke.

Dit artikel is onderdeel van een reeks over de gevolgen en kansen van GDPR/AVG. Hier vind je alle artikelen in de reeks.

#6 Stel procedures op en neem technische maatregelen om de rechten van betrokkenen uit te kunnen voeren

De AVG heeft onder andere als doel om individuen meer controle uit te laten oefenen over hun gegevens, zoals je in deel 3 van deze serie al kon lezen. Bijvoorbeeld via het recht op om vergeten te worden of het recht op dataportabiliteit, waarbij mensen hun gegevens kunnen laten overdragen van de ene organisatie naar de andere. Stel dus procedures op om de rechten van betrokkenen uit te kunnen voeren én neem technische maatregelen - zeker als je veel verzoeken verwacht.

#7 Stel een Privacy Impact Assessment (PIA) vast en breng in kaart wanneer je deze moet uitvoeren

Met een PIA beoordeel je het effect van een specifieke verwerking van persoonsgegevens op de privacy van de betrokkenen. Hierin moet worden meegenomen welke gegevens om welke reden worden verwerkt en wat de impact hiervan is. Daarnaast moet een beoordeling van noodzaak en de evenredigheid van de verwerking plaatsvinden, evenals een beoordeling van de risico’s voor de individuen en een beoordeling van eventuele waarborgen of maatregelen om de impact op de privacy te beperken.

Onderaan de streep moeten de risico's afgewogen worden tegen de waarborgen. Als het risico nog steeds hoog blijft, moet je het voorleggen aan de Autoriteit Persoonsgegevens: zij moeten dan beoordelen of je met de verwerking mag beginnen. Let op: de verplichting om een PIA uit te voeren geldt ook voor verwerkingen die gestart zijn vóór 25 mei. Als de verwerking doorgaat na die datum zal beoordeeld moeten worden of een PIA verplicht is.

#8 Breng in kaart waar binnen jouw organisatie toestemming wordt gevraagd voor de verwerking van persoonsgegevens en controleer of dit voldoet aan de eisen van de AVG

Voor verwerking van persoonsgegevens is soms toestemming nodig. Onder de AVG moet je bewijzen dat, wanneer, hoe en waarvoor toestemming is verkregen. Intrekken van toestemming moet net zo eenvoudig zijn als het geven van toestemming en mag geen nadelige gevolgen hebben. Daarnaast mag toestemming niet een voorwaarde zijn voor uitvoering van de overeenkomst – de toestemming is in dat geval niet ‘vrij’ gegeven. In het zesde deel van deze serie gingen we al dieper in op het begrip toestemming.

#9 Stel een databeveiligingsbeleid op en blijf dit beleid toetsen en verbeteren

Denk bij het opstellen van een databeveiligingsbeleid de volgende onderdelen:

•          Toegangscontrole, met gebruik van sterke wachtwoorden.

•          Logging van handelingen rondom de persoonsgegevens

•          Fysieke maatregelen voor toegangsbeveiliging

•          Encryptie van bestanden met persoonsgegevens

•          Steekproefsgewijze controle op naleving van het beleid

•          Beheer van kopieën en back-ups

•          Beveiliging van netwerkverbindingen

#10 Stel een protocol meldplicht datalekken op  

De meldplicht datalekken blijft onder de AVG bestaan. Je moet een register bijhouden van alle datalekken die plaatsvinden. Afhankelijk van het type gegevens, de hoeveelheid en de context van het lek bepaalt de verantwoordelijke of een lek gemeld moet worden bij de toezichthouder. Vervolgens gaat deze na of het lek ook bij het individu moet worden gemeld. Een protocol, inclusief een crisiscommunicatieplan, helpt hierbij. Liever wil je een datalek natuurlijk helemaal voorkomen - deze 7 praktische tips helpen daarbij.

Wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de DDMA AVG Status Check. Naast advies over vijf AVG-thema’s, is deze check ook een benchmark. Je kunt per thema zien hoe andere bedrijven scoren. We willen je ook wijzen op de AVG-bijeenkomst die DDMA op 23 januari organiseert. Udo Oelen, hoofd toezicht private sector van de Autoriteit Persoonsgegevens, is een van de sprekers.


Delen

0
8


Er zijn 1 reacties op dit artikel

  • Dank voor de heldere uitleg hierboven!
    Maar waar helderheid is blijven vragen bestaan, misschien wel hele simpele die in AVG101 gestaan hebben..

    Het klinkt als een open deur maar: Wat zijn persoonsgegevens? Of liever, waar ligt de grens voor AVG?

    Sc1: Stel ik heb een database met daarin naam, adres en mail info alsmede info van het bedrijf dat hij of zij vertegenwoordigt. Dat is info die ze ook op hun website hebben staan. Overigens kan die informatie via de link in bijna elke bulk-mail worden aangepast en uiteraard kan het geheel uit de (Amerikaanse) database worden verwijderd (De basis was een ledenadministratie die later is uitgebreid met handmatige website search, info uit folders en visitekaartjes enz.)

    Sc2: Ze worden lid of sponsor van onze vereniging (Soort VVV) en krijgen dan een (digitale) factuur. Dat is een genummerde factuur, geen mail met "u mag deze rekening betalen maar het is geen plicht.
    Dat ze lid zijn gaat vervolgens vermeld worden op onze website
    (Niet de mate waarin/bedrag)Datzelfde kan voor een donateur/sponsor die aan kan geven of het zichtbaar moet zijn of niet.

    Ons (externe) administratiekantoor heeft dan inzicht in het IBAN, lidmaatschapsnummer en NAW gegevens die ze van ons krijgen.
    Via het boekhoudpakket/telebankieren kunnen wij van van de leden ook het IBAN traceren.

    In mijn optiek zijn dat algemeen toegankelijke data die ook grotendeels op de bedrijfssite geplaatst zijn en lijkt mij de privacy gewaarborgd. Het enige zou kunnen zijn dat een factuur niet betaald is en we een reminder sturen, omdat je dan betaalgegevens koppelt aan een factuur.
    Wat zou betekenen dat elke transactie wel onder het AVG komt te vallen.

    Waar schrijpt mijn visie met de realiteit?

    Bij voorbaat dank!
    JohnPeter Elverding
    Marketing Midden-Groningen (v/h VVV Slochteren)

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.