Stappenplan AVG
Inmiddels is de overgangsperiode voor het invoeren van de AVG in je organisatie afgelopen. Alle organisaties moet voldoen aan de nieuwe privacyregels. Als je nog geen actie hebt ondernomen, is het zaak om dat zo snel mogelijk in orde te maken in je organisatie. Om aan de AVG te voldoen, moet je een aantal stappen ondernemen. Om je hierbij te helpen, heeft de Autoriteit Persoonsgegevens (AP) de 10 belangrijkste stappen voor je op een rijtje gezet.
Stap 1: Bewustwording
Zorg ervoor dat de relevante mensen in je organisatie op de hoogte zijn van de nieuwe privacyregels. Bijvoorbeeld je HR manager of administrateur. Zij moeten inschatten wat de impact van de AVG is op je huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Houd er rekening mee dat de implementatie van de AVG tijd kost en begin er daarom zo snel mogelijk mee.
Stap 2: Rechten van betrokkenen
Onder de AVG hebben de mensen van wie je persoonsgegevens verwerkt meer en verbeterde Privacyrechten gekregen. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage (welke gegevens heb je van hen?) en het recht op correctie en verwijdering.
Maar houd ook rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet je ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Stap 3: Overzicht verwerkingen
Breng je gegevensverwerkingen in kaart. Voor welke processen gebruikt je organisatie persoonsgegevens? Bijvoorbeeld voor de salarisadministratie. Documenteer welke persoonsgegevens je verwerkt en met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt.
Onder de AVG heb je een verantwoordingsplicht, wat inhoudt dat je moet kunnen aantonen dat je organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten (verwerkingsregister) is onderdeel van de verantwoordingsplicht. Je kunt het verwerkingsregister ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij je vragen hun gegevens te corrigeren of verwijderen, moet je dit doorgeven aan de organisaties waarmee je hun gegevens hebt gedeeld.
Stap 4: Data protection impact assessment
Onder de AVG kan je verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een verwerking van persoonsgegevens in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Je moet een DPIA uitvoeren als je beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt.
In onze sector zou het kunnen zijn dat je zo’n analyse moet uitvoeren als je bedrijf bijvoorbeeld de gegevens van huurders van een woningcorporatie beheert.
Komt er uit een DPIA naar voren dat je beoogde verwerking een hoog risico oplevert? En lukt het je niet om maatregelen te vinden om dit risico te beperken? Dan moet je met de AP overleggen voordat je met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvang je een schriftelijk advies van de AP.
Stap 5: Privacy by design & privacy by default
Maak je organisatie vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe je deze beginselen binnen je organisatie kunt invoeren.
Privacy by design houdt in dat je er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat je niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat je de gegevens niet langer bewaart dan nodig. Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.
Stap 6: Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Bepaal of dit voor jouw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.
Stap 7: Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken die zich in je organisatie hebben voorgedaan. Je moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan.
Stap 8: Verwerkersovereenkomsten
Heb je de gegevensverwerking uitbesteed aan een bewerker (in de AVG ‘verwerker’ genoemd)? Bijvoorbeeld een salarisverwerker. Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met je bewerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.
Stap 9: Leidende toezichthouder
Heeft je organisatie vestigingen in meerdere EU-lidstaten? Of hebben je gegevensverwerkingen in meerdere lidstaten impact? Dan hoef je onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacytoezichthouder je valt.
Stap 10: Toestemming
Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan.