De Algemene Verordening Gegevensbescherming, oftewel de AVG, heeft per 25 mei de huidige privacywetgeving vervangen. De AVG bevat regels voor het verwerken van persoonsgegevens. Als zelfstandige ondernemer is het van belang om op de hoogte te zijn van de regels van de AVG, dit geldt al bij het versturen van een factuur of een offerte: het niet naleven van de regels kan een fikse boete opleveren. De Autoriteit Persoonsgegevens (AP) vertelt in tien stappen waar je als onderneming bij stil moet staan.
1. Maak je organisatie bewust
Het is van belang op de hoogte te zijn van de regels van de AVG. Wanneer je een organisatie hebt met personeel in dienst, licht je medewerkers dan in over de nieuwe privacywetgeving. Begin op tijd met de implementatie van de AVG, dit kost namelijk redelijk wat tijd.
2. De rechten van betrokkenen
Klanten van wie je de persoonsgegevens verwerkt krijgen meer en aangescherpte privacyrechten. Het is verstandig om rekening te houden met de nieuwe rechten, zoals het recht op dataportabiliteit. Het is hierbij van belang dat betrokkenen hun gegevens makkelijk kunnen ontvangen en doorsturen indien zij dit willen.
3. Breng de gegevensverwerking in kaart
Leg als onderneming vast welke persoonsgegevens worden verwerkt en met welk doel dit gebeurt, waar deze gegevens vandaan komen en met wie je ze deelt.
4. Data Protection Impact Assessment
Je kunt als onderneming verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren, een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Dit kan van je worden gevraagd als er een grote kans bestaat dat je beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt. Hier kun je nu alvast een inschatting van maken.
5. Privacy by design en privacy by default
Privacy by design betekent dat bij het ontwerpen van een product of dienst rekening wordt gehouden met persoonsgegevens, niet meer gegevens worden verzameld dan noodzakelijk is en deze niet langer worden bewaard dan noodzakelijk is. Privacy by default betekent dat je als organisatie maatregelen moet nemen om ervoor te zorgen dat je alleen persoonsgegevens verwerkt die strikt noodzakelijk zijn voor het doel dat je als organisatie wilt bereiken. Maak je organisatie vertrouwd met de uitgangspunten van privacy by design en privacy by default.
6. Functionaris voor de gegevensbescherming
Organisaties kunnen verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Schat in of dit bij jouw organisatie nodig kan zijn en begin niet te laat met het werven van een FG.
7. Documentatie datalekken
De meldplicht datalekken blijft grotendeels hetzelfde, echter worden strengere eisen gesteld aan de registratie van datalekken van je organisatie. Alle datalekken moeten worden gedocumenteerd.
8. Verwerkingsovereenkomsten
Wanneer je je gegevensverwerking hebt uitbesteed aan een verwerker, beoordeel dan of de overeengekomen maatregelen in bestaande contracten met je verwerkers nog steeds toereikend zijn en voldoen aan de eisen van de AVG.
9. Leidende toezichthouder
Heeft je organisatie meerdere vestigingen in de EU of hebben je gegevensverwerkingen in meerdere lidstaten impact? Dan hoef je nog maar met één privacytoezichthouder zaken te doen, namelijk met de leidende toezichthouder. Als dit voor jouw organisatie geldt, bepaal dan onder welke privacytoezichthouder je organisatie valt.
10. Toestemming
De AVG stelt strengere eisen aan toestemming van de betrokkenen. Evalueer als organisatie de manier waarop je toestemming vraagt, krijgt en registreert. De nieuwe wet stelt dat je moet kunnen aantonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken en dat mensen deze toestemming weer kunnen intrekken indien zij dit willen.
Meer informatie?
Neem contact op of vraag een offerte aan.