Wat u moet weten over GDPR

GDPR (General Data Protection Regulation) wordt in Nederland ook wel de AVG genoemd en is een nieuwe Europese regelgeving die vereist dat bedrijven de persoonlijke gegevens en privacy van EU-burgers beschermen. Elke organisatie in Europa die privacygevoelige data opslaat en gebruikt, moet zich hieraan houden.

De GDPR is al in 2016 ingegaan, maar er is een overgangstermijn van 2 jaar. Bedrijven moeten uiterlijk op 25 mei 2018 voldoen aan de voorwaarden.

Welke gegevens zijn privacygevoelig?

Persoonlijke gegevens zoals naam en adres, e-mailadressen, bankgegevens, berichten op sociale media, medische informatie en transacties zijn voorbeelden van persoonlijke gegevens. Let op, ook de informatie gerelateerd aan een natuurlijke persoon, die kan worden gebruikt om de persoon / persoon direct of indirect te identificeren is privacygevoelig. Het gaat hier om data zoals type- of klantnummer of datum en locatie waarop de gegevens zijn opgeslagen.

Wat moet mijn bedrijf doen om zich voor te bereiden op de GDPR?

Breng in kaart welke persoonsgegevens uw bedrijf heeft, verwerkt of laat verwerken. Maak hierbij een onderscheid tussen normale persoonsgegevens zoals naam en adres en specifieke persoonsgegevens zoals politieke voorkeur, lidmaatschappen, juridische informatie etc… Specifieke persoonsgegevens eisen aanvullende maatregelen.

Checklist AVG/GDPR

Bewustwording en training management, wat moet u zelf doen?
Beleid doornemen en invullen
Onder de AVG krijgen betrokkenen (de mensen van wie u persoonsgegevens verwerkt) meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.

Ook kunnen mensen bij de AP klachten indienen over de manier waarop u met hun gegevens omgaat. De AP is verplicht deze klachten te behandelen.

Medewerkers op de hoogte brengen, bewustwording

Technische checklist doorlopen

  • Virusscanners?
  • Back-up procedure?
  • Veilig WIFI (gescheiden gastennetwerk)
  • Instellingen netwerk apparatuur (wachtwoord?)
  • Invullen bedrijfsmiddelenlijst

Processen en procedures doornemen en invullen

Onder de AVG bent u soms verplicht om een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt, wanneer u meer dan 5000 data objects registreert of aan profiling doet.

PIA’s op kritische processen uitvoeren (Privacy impact analyse)
Om de PIA vragenlijst zo goed mogelijk in te kunnen vullen, is informatie nodig over:

  • Het project en de maatschappelijke context hiervan.
  • Wie de belanghebbenden zijn en welke eisen en wensen zij hebben.
  • Van wie de gegevens worden verzameld.
  • Het type gegevens (o.a. de gevoeligheid) dat gebruikt gaat worden.
  • De wijze waarop deze gegevens verzameld en verwerkt gaan worden.
  • De verschillende systemen die gebruikt gaan worden om de gegevens te verzamelen, op te slaan en te versturen.
  • De manier waarop de gegevens tussen de verschillende systemen worden uitgewisseld.
  • Waar de gegevens voor worden gebruikt (het doel of doelen).
  • De reikwijdte van de verdere verwerking van de gegevens.
  • Of op basis van de gegevens persoonsprofielen worden gegenereerd.
  • De bedrijfsprocessen die dit doel ondersteunen of realiseren.
  • Is toestemming nodig voor het verwerken van deze gegevens.

Privacy verklaring op de website zetten.
Maak uw organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw organisatie kunt invoeren.

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzameld dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:

    • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
    • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
    • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Verwerkt uw organisatie gevoelige gegevens, dan bent u misschien verplicht een DPO (Functionaris gegevensbescherming) aan te stellen.

Meldplicht datalekken. Procedure voor het melden van Datalekken aan de AP.

Verwerkersovereenkomsten naar verwerkers sturen

  • Netmask
  • hostingpartij
  • Salarisverwerker