1. Verdiep u in de AVG en zet privacy op uw agenda
Lees meer over de AVGÂ of laat je voorlichten. Heb je personeel in dienst? Betrek dan relevante medewerkers. Zij kunnen inschatten wat de impact van de AVG is op de huidige processen, diensten en producten.Â
Check of je persoonsgegevens mag verwerken
Als ondernemer mag je niet zomaar persoonsgegevens verwerken. Je moet daarvoor aan minstens 1 van onderstaande 6 voorwaarden voldoen:
- je moet toestemming hebben gekregen van de persoon om wie het gaat
- het is nodig om een overeenkomst uit te voeren. Je moet bijvoorbeeld adresgegevens verwerken om jouw product bij iemand te kunnen bezorgen
- het is nodig om een wettelijke verplichting na te komen
- het is nodig om iemands leven of gezondheid te beschermen en je kunt die persoon niet om toestemming vragen
- het is nodig om een taak van algemeen belang uit te voeren
- het is om het gerechtvaardigd belang te behartigen. Je moet bijvoorbeeld persoonsgegevens verwerken in jouw personeelsadministratie om salaris uit te kunnen betalen
2. Vertel jouw klanten wat hun rechten zijn
Jouw klanten hebben veel rechten op gebied van privacy. Je moet ervoor zorgen dat ze gemakkelijk van die rechten gebruik kunnen maken. Klanten mogen bijvoorbeeld:
- hun gegevens inzien, aanpassen en verwijderen
- toestemming die ze eerder gaven beperken, en weer intrekken
- hun gegevens opvragen zodat ze makkelijk naar een ander bedrijf kunnen overstappen, dat heet het recht op dataportabiliteit
Jouw klanten mogen een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.
3. Maak een overzicht van hoe je gegevens verwerkt
Leg in een register vast welke persoonsgegevens je verwerkt en waarom je dit doet. Maar ook waar deze gegevens vandaan komen, en met wie je ze deelt. Het register heb je bijvoorbeeld nodig als klanten jou vragen hun gegevens aan te passen of te verwijderen. Je moet dit dan namelijk ook doorgeven aan de organisaties met wie jij de gegevens hebt gedeeld.
Dit register valt onder de zogenoemde verantwoordingsplicht. Als ondernemer moet je altijd kunnen verantwoorden hoe je met persoonsgegevens omgaat.
4. Bekijk of u een Data Protection Impact Assessment (DPIA) moet maken
Verwerk je gegevens met een hoog privacyrisico, dan moet je een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een uitgebreid onderzoek om risicoâs van gegevensverwerking in kaart te brengen. Op basis van deze DPIA kan je maatregelen nemen om de privacyrisicoâs te verkleinen.
Lukt het niet om maatregelen te nemen om risicoâs te verkleinen? Overleg dan met de Autoriteit Persoonsgegevens voordat je begint met het verwerken van persoonsgegevens. De AP beoordeelt dan of de gegevensverwerking in strijd is met de AVG. Je ontvangt schriftelijk advies van de AP.
Je loopt een hoog privacy risico als je:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en waarop besluiten worden gebaseerd die gevolgen hebben voor mensen
- op grote schaal bijzondere persoonsgegevens verwerkt of wanneer er strafrechtelijke gegevens worden verwerkt
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht
Bekijk een lijst met verwerkingen waarvoor een DPIA verplicht is.
5. Houd in uw producten en diensten standaard rekening met privacy
Ontwerp je nieuwe producten of diensten, zorg dan in de ontwerpfase al dat persoonsgegevens goed worden beschermd. Dit wordt ook wel âprivacy by designâ genoemd. Verwerk daarom niet meer persoonsgegevens dan nodig is. Dit noemt men ook âprivacy by defaultâ. Voorbeelden hiervan zijn:
- laat een app niet zonder goede reden de locatie van gebruikers registreren
- vink op uw website het vakje âja, ik wil aanbiedingen ontvangenâ niet vooraf aan
- vraag bij het abonneren op een nieuwsbrief niet meer gegevens dan nodig is
6. Onderzoek of u een functionaris gegevensbescherming nodig heeft
Verwerk je binnen jouw onderneming veel persoonsgegevens? Controleer dan of je verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen jouw organisatie controleert of alles volgens de AVG gaat. Jouw organisatie mag ook vrijwillig een dergelijke functionaris aanstellen.
7. Documenteer en meld datalekken
Bij een datalek komen persoonsgegevens vrij zonder dat dit de bedoeling is. Voorbeelden van datalekken zijn:
- je verliest een laptop, tablet, usb-stick of papieren met daarop niet-versleutelde persoonsgegevens
- je mailt persoonsgegevens naar een verkeerd persoon
- de persoonsgegevens die je verwerkt worden gestolen bij een cyberaanval
- jouw systeem is besmet met ransomware waardoor de persoonsgegevens niet meer toegankelijk zijn
Je bent als ondernemer verplicht alle ernstige datalekken direct te melden aan de AP. Daarnaast moet je alle datalekken documenteren. Ook interne lekken die je niet hoeft te melden. Bekijk in de guidelines welke datalekken je moet melden. Deze richtlijnen zijn nog niet definitief. Je moet de betrokkenen van wie de persoonsgegevens zijn alleen informeren als het datalek grote gevolgen heeft voor hun rechten en vrijheden.
Verwerk je privacygevoelige data voor jouw opdrachtgevers? Dan moet je alle datalekken aan hen melden, zodat zij dit weer aan de AP kunnen melden.
8. Zorg voor een goede verwerkersovereenkomst
Werk je samen met bedrijven/organisaties, die in opdracht van jou en volgens jouw instructies persoonsgegevens verwerken? Zorg dan dat je met hen een verwerkersovereenkomst sluit. Ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking.
Heb je al eerder een vewerkersovereenkomst opgesteld onder de Wet bescherming persoonsgegevens (Wbp)? Controleer dan de huidige overeenkomst en zorg ervoor dat je een nieuwe verwerkersovereenkomst opstelt volgens de regels van de AVG. De regels onder de AVG zijn strenger.
9. Bepaal de leidend toezichthouder
Is jouw onderneming in meerdere EU-landen actief? Of zijn jouw gegevensverwerkingen van invloed op meerdere lidstaten van de EU? Dan hoeft je maar met Ă©Ă©n privacy-toezichthouder zaken te doen. Dat heet het een-loketmechanisme. Kies bijvoorbeeld de Nederlandse Autoriteit Persoonsgegevens.
10. Vraag toestemming voor het verwerken van gegevens
Voor sommige gegevensverwerkingen heb je toestemming nodig van de betrokkenen. Daarnaast moet je kunnen bewijzen dat je toestemming hebt gekregen. Bekijk daarom hoe je om deze toestemming vraagt, krijgt en hoe je dit vastlegt.