Op 25 mei 2018 gaat de nieuwe privacywet, de AVG, in werking. Lees mijn eerdere blogpost voor een introductie in de AVG en de gevolgen voor iedere organisatie die te maken heeft met persoonsgegevens. Met deze blogpost geef ik je 5 stappen waarmee je een goed uitgangspunt hebt, om je organisatie verder klaar te stomen voor de AVG.

 

1. Breng in kaart welke persoonsgegevens je ontvangt

Doordat je in kaart brengt welke persoonsgegevens je ontvangt, creëer je een overzicht voor jezelf waarmee je ten eerste kunt bepalen of er specifieke regels van toepassing zijn.

Het verwerken (d.w.z. opslaan, verzamelen, bewerken enz) van bijzondere gegevens en strafrechtelijke gegevens is bijvoorbeeld verboden tenzij jij jezelf op een van de uitzonderingsgronden van de AVG kunt beroepen. Bijzondere gegevens zijn o.a. gegevens over politieke voorkeur, gezondheid of afkomst. Een voorbeeld van een uitzonderingsgrond is als deze gegevens door de betrokkene al openbaar zijn gemaakt (Denk hierbij bijvoorbeeld aan iemand die zijn politieke voorkeur openbaar heeft gemaakt door zichzelf verkiesbaar te stellen).

Ten tweede ben je op grond van de AVG verplicht om een verwerkingsregister op te stellen waaruit o.a. blijkt welke persoonsgegevens je verzamelt en wat er vervolgens met die gegevens gebeurt.

 

2. Bekijk waar deze gegevens worden opgeslagen

Gegevens kunnen via verschillende kanalen binnenkomen. Je kunt bijvoorbeeld
gebruik maken van contact- en/of aanvraagformulieren op je website of
emailadressen en andere persoonsgegevens via de aanmelding voor je nieuwsbrief
binnen krijgen. Deze informatie kun je ook weer voor je verwerkingsregister
gebruiken.

 

3. Maak afspraken met alle partijen die gegevens voor je opslaan

Als je een gmail account gebruikt, heb je waarschijnlijk wel mailtjes voorbij zien
komen over de AVG en hoe Gmail daarmee omgaat. Maar denk ook aan de hosting van je website of de dienst die je gebruikt om nieuwsbrieven te versturen. Dit soort partijen slaan allemaal persoonsgegevens voor je op, op de servers die zij gebruiken.

Omdat jij verantwoordelijk bent voor het beschermen van de door jou ontvangen persoonsgegevens ben je ingevolge de AVG verplicht afspraken te maken met deze partijen. De AVG spreekt van ‘verwerkersovereenkomsten’. De gegevens worden namelijk in jouw opdracht verwerkt door de verschillende diensten. Jij blijft bepalen wat er met die gegevens gebeurt waardoor jij ook verantwoordelijk blijft.

Het kan zijn dat deze organisaties je pro-actief benaderen met een verwerkersovereenkomst waarbij je kunt aangeven dat je hiermee akkoord gaat. Als dit echter niet zo is, zul je deze organisaties zelf met een verwerkersovereenkomst moeten benaderen.

4. Neem maatregelen om de aan jou verstrekte persoonsgegevens te beschermen

Als je gebruikt maakt van bestanden met persoonsgegevens die je op je eigen
computer opslaat zul je deze bestanden door middel van ingestelde wachtwoorden
moeten beschermen.

Als het om gevoelige informatie gaat zoals bijzondere gegevens of
strafrechtelijke gegevens worden er strengere eisen aan beveiliging gesteld. Je kunt dan denken aan encryptie of het anonimiseren van gegevens waarbij alleen degene met de juiste sleutels/codes bij de relevante informatie kan.

 

5. Zorg voor een privacyverklaring

Een privacyverklaring is vereist als je van persoonsgegevens gebruik maakt. Door het opstellen van een privacyverklaring bied je duidelijkheid over welke persoonsgegevens je verwerkt en wat er met de verstrekte gegevens gebeurt. Verder
verstrek je in de verklaring o.a. informatie over de bewaartermijn van deze gegevens
en de rechten van betrokkenen met betrekking tot de door jou gebruikte gegevens.

Omdat ik mijn blogposts kort en overzichtelijk wil houden, voert het te ver om alle relevante eisen met betrekking tot verwerkersovereenkomsten en privacyverklaringen te behandelen.

Maar niet getreurd … help is just an email or phone call – +31 621345750 –  away!