Checklist AVG/GDPR. Ben jij er klaar voor?
Leuk zeg, die nieuwe AVG/GDPR. Heel veel info. Fijn. Maar ehhh, wat moet je nu precies doen? Welke documenten moet je hebben? Het is zoveel dat je door de bomen het bos niet meer ziet. Uitleggen wat er in elk document moet staan zou wel een heel lang verhaal worden, maar ik geef je hieronder wel een checklist welke documenten je in elk geval nodig hebt, zodat je ervoor kunt zorgen dat je voor 25 mei 2018 alles op orde hebt. En ja, dit geldt voor elke onderneming, hoe klein ook.
1. Privacyverklaring
Elke onderneming heeft een privacyverklaring nodig. Elke onderneming slaat tenslotte klantgegevens op en dat is al een verwerking van persoonsgegevens. Over die verwerking moet je transparant zijn en de ‘betrokkene’ (de persoon waarvan de persoonsgegevens zijn) over informeren. Nu B2B persoonsgegevens, zoals de persoonsgegevens van je contactpersoon (naam, e-mailadres, doorkiesnummer) onder de regels van de AVG/GDPR gaan vallen, heeft echt elke onderneming een privacyverklaring nodig.
Heb je al een privacyverklaring? Mooi! Maar dan ben je nog niet van me af.
Volgens de AVG/GDPR moet er namelijk veel meer informatie in de privacyverklaring staan en moet het nog duidelijk en in begrijpelijk Nederlands worden opgeschreven ook. Elke privacyverklaring heeft dus een update nodig!
Wil jij ook een maatwerk privacyverklaring?
LawStories in je mailbox?
2. Verwerkersovereenkomst
De persoonsgegevens sla je natuurlijk ergens op. Waarschijnlijk op servers die je bij een hostingpartij huurt. Je maakt wellicht gebruikt van nieuwsbriefsoftware. Met alle partijen die bij de persoonsgegevens kunnen die jij opslaat, moet je een verwerkersovereenomst sluiten. Dus ook met Dropbox als daar persoonsgegevens terechtkomen, omdat je daar bijvoorbeeld de facturen opslaat. Ook met je boekhouder, als je aan hem/haar al je facturen toestuurt om ze in te kunnen kloppen. Ook met het softwarebedrijf waarmee je offertes en facturen aanmaakt. Ook met het bedrijf waarmee je het online programma hebt gebouwd, die accountgegevens en wachtwoorden opslaat. Ga zo maar door.
Sommige grotere bedrijven, vooral als ze in de EU gevestigd zijn, zullen zelf misschien al zo’n verwerkersovereenkomst hebben, die je kunt tekenen. Vraag daarnaar! Zo niet, stel er zelf een op of laat dat doen en laat deze overeenkomst vervolgens tekenen door de verwerkers.
Wij schrijven graag verwerkersovereenkomsten
3. Privacybeleid
Een privacybeleid, ook wel het gegevensbeschermingsbeleid genoemd, is niet voor elke onderneming verplicht. Maar: elke onderneming heeft wel een zogenaamde verantwoordingsplicht. Dat is de plicht om aan te kunnen tonen dat je aan alle verplichtingen van de AVG voldoet. Hoe doe je dat nu het beste en makkelijkste? Door een privacybeleid te hebben. Daarin staat onder meer welk soort persoonsgegevens je verwerkt, voor welke doeleinden, met welke juridische grondslag, hoe je de gegevens beveiligt, hoe lang je ze bewaart, hoe je ervoor zorgt dat personen klachten kunnen indienen, toestemming in kunnen trekken en hoe ze hun gegevens kunnen opvragen in het kader van de dataportabiliteit.
Wij adviseren over je privacybeleid
4. Toestemmingsregister
Is het verwerken (daar valt alleen al opslaan onder) van persoonsgegevens gebaseerd op toestemming? Dan moet je dat kunnen bewijzen. Dat valt ook onder de verantwoordingsplicht. Je moet dus een soort register bijhouden van de toestemming die je gekregen hebt, wanneer je die gekregen hebt, hoe je die gekregen hebt, waarvoor je die gekregen hebt en voor welke duur je die gekregen hebt. Als de toestemming wordt ingetrokken moet je dat ook registreren.
Veel nieuwsbriefsoftware voorziet daar gelukkig al in. Kwestie van goed bewaren dus en opslaan wanneer je overstapt naar andere software. Zo’n register mag je natuurlijk automatiseren. Maak het jezelf zo makkelijk mogelijk, zolang je maar aan de Autoriteit Persoonsgegevens kunt aantonen dat je toestemming hebt gekregen om de persoonsgegevens te verwerken zoals je ze in de praktijk gebruikt.
5. Register verwerkingsactiviteiten
Verwerk je gevoelige gegevens, zoals informatie over godsdienst, politieke voorkeuren of medische gegevens en/of verwerk je structureel persoonsgegevens en/of heeft jouw organisatie meer dan 250 medewerkers, dan moet je een register van de verwerkingsactiviteiten bijhouden. Ja, bijhouden ja. Dat blijft dus doorlopen.
Je moet ook registreren wie er wanneer bij de persoonsgegevens kon. Die logbestanden moet je bewaren. Dat heeft met name te maken met de beveiliging van de gegevens en op kunnen sporen waar het lek mogelijk heeft gezeten als het per ongeluk toch fout gaat.
Niet meer doen!
Wat je toch al niet meer moest doen, maar nu al helemaal niet meer:
- Excel sheets maken met gegevens, die je ergens onveilig opslaat en waaruit de gegevens niet automatisch gewist worden wanneer dat wel nodig of verplicht is. Alles waar persoonsgegevens in opgeslagen staan moet actueel zijn en het moet goed beveiligd zijn.
- Adressenbestanden inkopen, zonder dat je weet waar precies toestemming voor is gegeven. Je moet bijhouden op basis waarvan je gegevens mag verwerken. Toestemming kan een grondslag zijn. Veel adressenbestanden zijn bij elkaar verzameld, maar het kan zijn dat de grondslag niet meer geldig is of er geen toestemming is gegeven. Zakelijke persoonsgegevens zijn nu immers ook persoonsgegevens geworden.
- Te laks omgaan met gegevens en verplichtingen. De Autoriteit Persoonsgegevens mag namelijk boetes gaan uitdelen vanaf 25 mei 2018.
