AVG wetgeving

Vanaf 25 mei 2018 is de aangescherpte privacy wetgeving vanuit de Algemene verordening gegevensbescherming (AVG) van kracht. Deze verordening zorgt ervoor dat in de hele EU dezelfde privacywetgeving geldt. Eén van de eisen die de AVG stelt, is dat er schriftelijke afspraken moeten worden gemaakt over de verwerking van persoonsgegevens.

Al er persoonsgegevens worden verwerkt namens u, dan moet de “Verwerkingsverantwoordelijke”  volgens de geldende wetgeving (waaronder de AVG) afspraken worden gemaakt over die verwerking.

Veel bedrijven worstelen nog steeds met dit onderwerp en zijn er nog steeds druk mee bezig. Hierbij  12 stappen om te komen tot AVG compliance:

  1. Bewustwording. De AVG heeft een serieuze impact op alle betrokkenen. Beleidsmakers moeten hiervan bewust worden gemaakt om zaken in beweging te zetten.
  2. Data stream map. Start met het bouwen van een Data Stream Map, waarin je documenteert welke data je verzamelt, waar deze data heen gaat en wat je met deze data doet binnen je bedrijf.
  3. Communicatie. Gebruik je Data Stream Map om je privacystatement te updaten met al je dataverwerking en leg de legitimiteit van je dataverwerking uit.
  4. Rechten van betrokkenen. Evalueer of je organisatie in staat is te handelen naar de rechten van betrokken. Begin vroeg, deze rechten stellen een serieuze uitdaging voor bijna alle tools, systemen en niet – digitale media.
  5. Juridisch. Beoordeel alle persoonlijke dataverwerking en documenteer de rechtsgrondslag voor al je activiteiten; wettelijke plicht, rechtmatig belang, expliciete toestemming, etc.
  6. Toestemming. Beoordeel en documenteer of je manier van vragen, ontvangen en registreren van toestemming in overeenstemming is met de AVG wetgeving. Je moet kunnen aantonen dat de betrokkene toestemming heeft gegeven.
  7. Datalekken. Zorg ervoor dat de processen en verantwoordelijkheden binnen je bedrijf duidelijk zijn en dat alles op zijn plaats is om snel en correct de gevolgen van datalekken te beperken.
  8. Privacy by design en Pia’s. Raak vertrouwd met de principes van ‘Privacy bij design and default’ en leer de effecten van jouw dataverwerking op privacy te beoordelen.
  9. Data Protection Officer. Benoem een ‘Data Protection Officer’ binnen je organisatie. Deze persoon is verantwoordelijk voor de handhaving van AVG binnen de organisatie en treedt op als vertegenwoordiger richting autoriteiten.
  10. Internationaal. Wanneer je organisatie internationaal actief is, is het belangrijk om kennis te vergaren hoe het in het betreffende land is geregeld.
  11. Contracten. Beoordeel alle contracten en dataverwerkingsovereenkomsten die je organisatie heeft met haar verwerkers en sub verwerkers en stel vast welke wijzigingen er nodig zijn.
  12. Rulebook. Data governance is geen eenmalige actie. Alle voorgaande stappen dienen doorlopend deel uit te maken van de data-activiteiten. Verzamel hierom alle eisen in een overzichtelijke Data Governance handleiding voor je bedrijf.

Hulp nodig bij het doorlopen van de stappen? Neem contact op!

Terug naar de publicaties