Deze 5 zaken moet je als bedrijf écht geregeld hebben sinds de komst van AVG

5 zaken voor een goede AVG compliancy

Blog 5 zaken AVG

Als ondernemer kom je er niet onder uit: sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 moet je bedrijf aan de eisen hiervan voldoen. Blijf je hierbij in gebreke, dan kan je dit een fikse boete opleveren tot wel 4% van je wereldwijde omzet. Maar erger is misschien nog wel de imagoschade die je oploopt. Nu de bescherming van privacy steeds belangrijker wordt, wil je niet bekend staan als het bedrijf dat hier met de pet naar gooit.

Zorg er daarom voor dat je als bedrijf alles goed hebt geregeld voor de AVG. In dit blog geven wij je advies over de 5 zaken die belangrijk zijn voor een goede AVG compliancy.

1) Zorg dat je weet of je persoonsgegevens mag verwerken

Organisaties zijn verplicht om een register op te stellen van de verwerkingsactiviteiten. In dit register vermeld je onder andere welke soort persoonsgegevens worden verwerkt, de bewaartermijnen, de categorieën van betrokkenen, zoals werknemers, extern personeel, leden, klanten of leveranciers, en de grondslagen. Als organisatie mag je niet zomaar persoonsgegevens opslaan. Heb je dit voor bedrijfsprocessen toch nodig, zorg dan dat je aan één van de volgende zes grondslagen voldoet:

  • Je hebt toestemming van de persoon om wie het gaat (toestemming)
  • De persoonsgegevens zijn nodig om een dienst te kunnen leveren, bijvoorbeeld het bezorgen van een bestelling (uitvoering van de overeenkomst)
  • De persoonsgegevens zijn nodig om een wettelijke verplichting na te komen, bijvoorbeeld het doen van aangiften loonbelasting (wettelijk)
  • De persoonsgegevens zijn nodig in het belang van iemands leven of gezondheid en deze persoon om toestemming vragen is niet mogelijk (vitale belangen)
  • De persoonsgegevens zijn nodig voor het uitvoeren van een taak in algemeen belang (algemene belangen)
  • De persoonsgegevens worden verwerkt voor een gerechtvaardigd belang, tenzij de privacybelangen van deze persoon zwaarder wegen (gerechtvaardigde belangen)

2) Zorg dat er een privacyverklaring is

Je bent verplicht om toe te lichten hoe je als organisatie omgaat met de verwerking van persoonsgegevens. In een (online) privacyverklaring kun je deze informatie kwijt. Hierin vermeld je onder andere:

  • Wat je met de persoonsgegevens doet
  • Waarvoor je ze gebruikt
  • Waarom dit belangrijk is voor je klanten
  • Hoe lang je ze bewaart

Het is belangrijk dat de privacyverklaring op een duidelijke plek op je website staat, dus kijk hier kritisch naar bij het plaatsen ervan.

3) Zorg dat er een verwerkersovereenkomst is

Als je andere partijen inschakelt om persoonsgegevens voor jouw bedrijf te verwerken, moet je met deze organisaties een verwerkersovereenkomst afsluiten. Hiermee leg je namelijk vast dat deze derde partij voldoende maatregelen moet treffen om de persoonsgegevens te beschermen.

 In een verwerkersovereenkomst leg je onder andere vast:

  • Om welke persoonsgegevens het gaat
  • Het soort en het doel van de gegevensverwerking
  • De maatregelen waarmee de persoonsgegevens worden beschermd
  • De procedure voor behandelen van datalekken

4) Zorg dat er een verantwoordelijke is aangesteld

Het is verstandig om een vast aanspreekpunt voor de AVG aan te stellen. Deze persoon houdt zich bezig met het waarborgen van het privacybeleid binnen je onderneming. Sommige organisaties zijn zelfs verplicht om een Functionaris Gegevensbescherming aan te stellen. Dit geldt voor:

  • De overheid
  • Organisaties die voor het merendeel te maken hebben met verwerkingen die door hun aard, hun omvang en/of doeleinden een regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen
  • Organisaties die voor het merendeel te maken hennen met het op grote schaal verwerken van bijzondere gegevens

5) Zorg dat er (indien van toepassing) een DPIA is

Wanneer je gegevens met een hoog privacyrisico verwerkt, ben je verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Dit is een uitgebreid onderzoek om (mogelijke) risico’s van gegevensverwerking in kaart te brengen. De uitkomst van het DPIA gebruik je om maatregelen te treffen om de privacyrisico’s te verkleinen.

De Autoriteit Persoonsgegevens (AP) bepaalt dat de voor de volgende verwerkingen een DPIA verplicht is:

  • Heimelijk onderzoek
  • Zwarte lijsten
  • Fraude bestrijding
  • Creditscores
  • Financiële situaties
  • Genetische persoonsgegevens
  • Gezondheidsgegevens
  • Samenwerkingsverbanden
  • (Flexibel ) cameratoezicht
  • Controle werknemers
  • Locatiegegevens
  • Communicatiegegevens
  • Internet of Things
  • Profilering
  • Observatie en beïnvloeding van gedrag

Voldoet jouw bedrijf al aan de AVG?

Wil je weten of jouw bedrijf de AVG op de juiste wijze heeft ingericht? Doe de gratis AVG Risico Scan.

Start de gratis AVG Risico Scan »

Wil je alvast meer informatie over onze dienst AVG Compliancy en over onze unieke multidisciplinaire aanpak? Hier lees je daar meer over.

02 augustus 2018
Doe de AVG Risico Scan