Hoe AVG-proof is uw organisatie? 6 zaken die u in ieder geval geregeld moet hebben

25/08/21 Bekijk reacties Verwachte leestijd: 5 minuten

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. In de praktijk merken wij dat veel bedrijven nog niet (volledig) AVG-compliant zijn. Bent u benieuwd hoe AVG-proof uw organisatie is? Aan de hand van onderstaande 6 vragen ziet u snel wat er nog moet gebeuren.

1. Heeft u de verwerkingen van persoonsgegevens in kaart?

AVG compliancy begint met het in kaart brengen van de verschillende verwerkingen van persoonsgegevens binnen uw organisatie. Weet u welke soorten persoonsgegevens u verwerkt? Met welk doel? Op grond waarvan? Hoe u aan die gegevens komt? En welke persoonsgegevens u deelt met andere partijen?

In sommige gevallen bent u verplicht de antwoorden op deze en andere vragen weer te geven in een verwerkingenregister. In andere gevallen is dat raadzaam. U heeft op grond van de AVG namelijk een verantwoordingsplicht; dat betekent dat u moet kunnen aantonen dat u compliant bent. Een verwerkingenregister is een van de documenten waarmee u aan deze verplichting voldoet.

2. Heeft u een AVG-proof privacyverklaring?

Op grond van de AVG moet u betrokkenen – de personen van wie u persoonsgegevens verwerkt, zoals klanten, bezoekers (van uw website) en medewerkers – informeren over de gegevens die u verwerkt, wat u ermee doet en welke rechten zij hebben.

Dit doet u in een privacyverklaring, waarin u het volgende opneemt:

  • de contactgegevens van uw organisatie
  • van wie u persoonsgegevens verwerkt
  • het soort persoonsgegevens dat u verwerkt
  • de doelen en de grondslag van de gegevensverwerking
  • de bewaartermijn van de persoonsgegevens
  • aan welke derden u de gegevens verstrekt
  • welke rechten betrokkenen hebben
  • het recht van betrokkenen om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP)

Online kunt u veel standaard privacyverklaringen downloaden. Een privacyverklaring is echter veelal maatwerk. Daarom adviseren wij u om een AVG-specialist te vragen om uw privacyverklaring op te stellen of te beoordelen.

3. Hoe adequaat reageert uw organisatie op verzoeken van betrokkenen?

Betrokkenen hebben op grond van de AVG verschillende rechten. Zo hebben zij onder meer het recht op inzage, rectificatie, vergetelheid en overdraagbaarheid. Ook hebben zij het recht van bezwaar.

Uw organisatie moet in staat zijn om dergelijk verzoeken conform de AVG af te handelen. Dat betekent: op de juiste wijze en op tijd. Heeft u daar een procedure en een contactpersoon voor?

4. Heeft u AVG-proof verwerkersovereenkomsten?

Schakelt u derden in bij de verwerking van persoonsgegevens, zoals een salarisadministrateur, pensioenfonds of een factoringbedrijf? Dan moet u AVG-proof verwerkersovereenkomsten met deze partijen hebben gesloten.

In een verwerkersovereenkomst staat hoe die derden moeten omgaan met de persoonsgegevens die u heeft verzameld. Waarom verwerken ze die gegevens, wat mogen ze ermee doen en wat moeten zij doen om die gegevens te beveiligen?

Ook verwerkersovereenkomsten kunt u online downloaden. Om ervoor te zorgen dat u de juiste afspraken maakt en geen onnodige risico’s loopt, adviseren wij u om ook uw verwerkersovereenkomsten door een AVG-specialist te laten opstellen of beoordelen.

5. Weet u wat u moet doen bij een datalek?

De kans dat er binnen uw organisatie een keer een datalek plaatsvindt is vrij groot. In dat geval moet u een aantal stappen doorlopen. In sommige gevallen moet u het datalek ook melden bij de AP en/of de betrokkene(n).

Daarom is het raadzaam om een datalekprotocol op te stellen en uw medewerkers daarvan op de hoogte te brengen.

6. Heeft u voldoende beveiligingsmaatregelen getroffen?

De AVG verplicht u om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens die u verwerkt te beveiligen. Daarbij geldt: hoe groter het risico, hoe zwaarder deze beveiligingsmaatregelen moeten zijn.

Overigens gaat het niet alleen om technische maatregelen. Het is ook van belang dat privacy niet alleen iets is van uzelf en/of het management. Al uw medewerkers moeten zich ervan bewust zijn dat zij voorzichtig moeten omgaan met persoonsgegevens.

En, is uw bedrijf AVG compliant?

Concludeert u na het lezen van deze blog dat het met uw AVG compliancy wel goed zit? Mooi! Maar heeft u moeten concluderen dat uw bedrijf nog niet AVG-proof is? En kunt u wel wat hulp gebruiken bij het inventariseren en op orde brengen van uw verplichtingen? Neem dan gerust contact op met een van onze advocaten privacyrecht. Dat kan door te bellen met 072 514 46 66. U kunt ook het contactformulier invullen, dan ontvangt u binnen 24 uur antwoord.