Wat kunt u nu al doen?
De implementatie van de AVG vraagt veel van uw beschikbare menskracht en middelen, begin daarom NU aan de voorbereidingen en schakel ICT2MKB alvast in.
1. Bewustwording
Zorg ervoor dat alle mensen in uw bedrijf of organisatie die betrokken zijn bij de verwerking van persoonsgegevens op de hoogte zijn van de nieuwe privacyregels. Zij moeten kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
2. Rechten van betrokkenen
Onder de AVG krijgen personen van wie uw organisatie persoonsgegevens verwerkt meer en verbeterde privacyrechten. In de wet wordt er groot belang aan gehecht dat zij hun privacyrechten kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op overdraagbaarheid van persoonsgegevens (dataportabiliteit). Mensen moeten makkelijk kunnen beschikken over hun gegevens en deze door kunnen geven aan een andere organisatie.
3. Overzicht verwerkingen
Zorg ervoor dat alle mensen in uw bedrijf of organisatie die betrokken zijn bij de verwerking van persoonsgegevens op de hoogte zijn van de nieuwe privacyregels. Zij moeten kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.
4. Privacy Impact Assessment
Onder de AVG kunnen organisaties verplicht zijn een zogeheten Privacy Impact Assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen, waarmee vervolgens maatregelen kunnen worden genomen om risico’s te verkleinen. Een organisatie moet sowieso een PIA laten uitvoeren als de beoogde gegevensverwerking een hoog privacyrisico met zich meebrengt. Die inschatting kunt u nu alvast (laten) doen. Als uit de PIA blijkt dat de beoogde verwerking een hoog risico oplevert en het niet lukt om maatregelen te nemen die de risico’s te beperken, dan moet de organisatie overleggen met de Autoriteit Persoonsgegevens. Die beoordeelt vervolgens of de voorgenomen verwerking in strijd is met de AVG.
5. Privacy by design & privacy by default
Maak uw bedrijf of organisatie nu al vertrouwd De organisatie kan nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default. Privacy by design wil zeggen dat er al bij het ontwerpen van producten en diensten voor wordt gezorgd dat persoonsgegevens goed worden beschermd. Privacy by default betekent dat de organisatie technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat, als standaard, alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel dat de organisatie wenst te bereiken. Denk bijvoorbeeld aan:
Gebruikers van een app niet hun locatie laten registreren als dat niet nodig is;
Het vakje ‘Ja, ik wil aanbiedingen ontvangen’ of ‘Ja, ik wil de nieuwsbrief ontvangen’ niet
vooraf aanvinken;
Niet meer gegevens vragen dan nodig is voor registratie op een nieuwsbrief.
6. Functionaris voor de gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Deze persoon wordt ook wel aangeduid als privacy officer. Het gaat vooral om overheidsinstanties, zorgorganisaties en bedrijven die op grote schaal persoonsgegevens verkrijgen en/of verwerken. Bepaal nu alvast of dit voor uw organisatie geldt. Zo ja, wacht dan niet te lang met het werven van hem of haar.
7. Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG uiteraard bestaan. De AVG stelt wel strengere eisen aan registratie en documentatie van datalekken.
8. Bewerkersovereenkomsten
Is de gegevensverwerking van uw bedrijf of organisatie uitbesteed aan een gegevensverwerker (gegevensbewerker)? Beoordeel dan of de overeengekomen maatregelen bij uw verwerker nog steeds toereikend zijn.
9. Eén privacytoezichthouder
Wanneer een organisatie vestigingen heeft in meerdere EU-lidstaten, of als bepaalde gegevensverwerkingen in meerdere lidstaten invloed hebben, dan heeft de organisatie onder de AVG nog maar met één privacytoezichthouder te maken. Dit wordt de leidende toezichthouder genoemd.
10. Toestemming
De gegevensverwerking in een organisatie kan gebaseerd zijn op toestemming van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer om die reden de manier waarop uw organisatie toestemming vraagt, krijgt en registreert en zorg voor de benodigde aanpassingen. Uw bedrijf of organisatie moet kunnen aantonen dat geldige toestemming van mensen is verkregen om hun persoonsgegevens te verwerken. Bovendien moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.
