Is jouw organisatie al klaar voor de nieuwe  privacyverordening (AVG)?

02 november 2017 (Digital) Marketing

Op 25 mei 2018 treedt de AVG (Algemene Verordening Gegevensbescherming) in werking. Deze geldt voor de hele Europese Unie en betreft een privacy-verordening die heel wat onrust veroorzaakt. Je hebt er vast al over gehoord, maar wat houdt de nieuwe verordening in voor jou en jouw organisatie? We praten je graag bij in deel twee van onze serie hierover, lees hier deel één.

Check, check, dubbelcheck

Organisaties zouden nu al aan de slag moeten gaan om hun eigen gegevensverzameling en data-opslag in kaart te brengen, te beoordelen en waar nodig juridisch advies te zoeken. Om hierbij te helpen sommen we hieronder een aantal vragen op die je als organisatie moet kunnen beantwoorden. Check hiermee of jouw organisatie al klaar is voor de AVG!

Inventariseer

  • Welke persoonlijke data slaan we op?
  • Hebben we deze data eerlijk verkregen? Hebben we toestemming gevraagd en waren de betrokkenen geïnformeerd over de specifieke doeleinden van de data? Waren we hier duidelijk en ondubbelzinnig over en werden de mensen op de hoogte gesteld van hun recht om deze toestemming in te trekken?
  • Zorgen we ervoor dat we de data niet langer opslaan dan noodzakelijk?
  • Is onze database up-to-date?
  • Worden mensen meteen verwijderd uit de database als zij hierom vragen?
  • Bewaren we de data op een veilige plek, met een veiligheidsniveau dat passend is voor het risico? Is de data daadwerkelijk alleen toegankelijk voor de doeleinden waarvoor de gebruiker toestemming heeft gegeven? 
  • Verzamelen, of verwerken we gevoelige data zoals genetische gegevens, etnische gegevens, religieuze gegevens enzovoorts? Zo ja, voldoen we aan de normen om deze data te verzamelen, verwerken en op te slaan?
  • Versturen we persoonsgegevens buiten de Europese Unie? Zo ja, hebben we voor voldoende bescherming gezorgd?

Projectplan

  • Hebben we een projectplan opgesteld om ervoor te zorgen dat we voldoen aan alle regels vóór de deadline van 25 mei 2018?
  • Hebben we het benodigde budget en de benodigde middelen om het project te voltooien? 
  • Moeten we een Data Protection Impact Assessment uitvoeren?
  • Moeten we een Functionaris voor de gegevensbescherming aanstellen?
  • Hebben we een beleid 'Data Protection by Design & Default' geïmplementeerd,  om ervoor te zorgen dat we systematisch de potentiële impact van een project of initiatief overdenken? 
  • Hebben we nagedacht over de behandeling van werknemersgegevens? 

Procedures en controles

  • Is de IT-afdeling zich bewust van hun verplichtingen ten aanzien van de AVG en hebben zij voldoende middelen om eventuele wijzigingen of nieuwe processen te implementeren?
  • Zijn we er klaar voor om op verzoek persoonsdata aan te passen, te verwijderen of de toegang hiertoe te verlenen?
  • Hebben we beveiligingsprocedures gereed die voldoen aan de verplichtingen van de AVG in het geval van inbreuk op persoonsgegevens?
  • Zijn onze werknemers getraind op het gebied van de nieuwe privacyverordening om ervoor te zorgen dat ook zij veilig met data omgaan?
  • Controleren en beoordelen we de data die we verzameld hebben regelmatig? 

Documentatie

  • Hebben we al een privacybeleid en zo ja, moeten we deze bijwerken om te voldoen aan de AVG?
  • Worden onze interne procedures adequaat gedocumenteerd?
  • Hebben we een beleid dat ervoor zorgt dat de retentieperiode (de tijd waarin verwijderde persoonlijke data nog terug te halen is) voldoet aan de AVG?
  • Als we data verwerken, hebben we dan al onze contracten gecontroleerd aan de hand van de verplichte bepalingen in Artikel 28 van de AVG?
  • In het geval dat derden de verwerking van persoonsgegevens namens ons afhandelen, hebben we er dan voor gezorgd dat onze contracten met hen zijn bijgewerkt om te voldoen aan de AVG?

Nog niet volledig? Of volledig de weg kwijt?

Is bovenstaande opsomming nog niet compleet genoeg voor jou? Of roept het alleen maar meer vragen op? Duik dan eens in de volledige wettekst van de AVG. Je kunt deze hier beneden downloaden. Wil je er liever gewoon eens over praten, neem dan gerust contact met me op!

 

Bronnen:

  • Autoriteit Persoonsgegevens
  • HubSpot
  • Deloitte

Volledige AVG

Download hier de volledig uitgeschreven wetteksten van de algemene verordening gegevensbescherming

Download de AVG