Maak uw organisatie AVG-proof: begin met een grondige inventarisatie

Leestijd 4 minuten

Op vrijdag 25 mei 2018 is het zover, dan treedt de Europese Algemene Verordening Gegevensbescherming (AVG) in werking en vervangt deze de huidige Wet bescherming persoonsgegevens (Wbp). U heeft dus nog een klein jaar de tijd om uw organisatie “AVG-proof” te maken.

In het blog van 31 mei 2017 gaven wij u al een zeer globaal beeld van de veranderingen die de inwerkingtreding van de AVG teweeg gaat brengen met 10 tips om uw organisatie AVG-proof te maken.

Onderstaand worden tip 1 en 2 nader toegelicht.

  1. Inventariseer welke persoonsgegevens uw organisatie verwerkt en op wat voor manier die verwerking in de organisatie plaatsvindt.
  2. Ga na op welke grondslag uw organisatie persoonsgegevens verwerkt en of die grondslag straks nog wel voldoet.

Vereisten voor verwerking persoonsgegevens

Persoonsgegevens mogen alleen maar worden verwerkt als wordt voldaan aan alle vereisten van de wet. De belangrijkste eisen zijn dat sprake moet zijn van:

  • een geoorloofd doel dat ook helder en tijdig is medegedeeld aan de betrokkene;
  • een grondslag voor de verwerking, bijvoorbeeld een wettelijke plicht, een overeenkomst, toestemming van de betrokkene of een gerechtvaardigd belang dat zwaarder weegt dan het privacybelang van de betrokkene;
  • data-minimalisatie: verzamel en verwerk niet meer dan noodzakelijk is voor dat doel;
  • subsidiariteit: als er andere, voor de betrokkene minder belastende, middelen zijn om het doel te bereiken dient daarvoor gekozen te worden;
  • een passende organisatorische en technische beveiliging van de persoonsgegevens die u verwerkt.

Nulmeting

U kunt alleen maar beoordelen of u aan deze eisen voldoet als u een helder en zo compleet mogelijk beeld heeft van wat u eigenlijk allemaal verzamelt en hoe u dat gebruikt. Het is dus verstandig een ‘nulmeting’ uit te voeren:

A. Ga per afdeling/functie na wat voor persoonsgegevens er verzameld c.q. verwerkt worden:

Bijvoorbeeld:

  • uw afdeling sales verzamelt, verwerkt, heeft toegang tot:
    • NAW-gegevens van particuliere afnemers of contactpersonen
    • telefoonnummers
    • koophistorie
    • zoekgedrag op de website
    • andere informatie die door afnemers wordt medegedeeld
    • databestanden die van derden worden verkregen
  • de ICT afdeling verzamelt, verwerkt, heeft toegang tot:
    • verkeersgegevens
    • surfgegevens
    • telefoongegevens
    • loggegevens inzake het systeemgebruik
    • loggegevens inzake de toegangscontrole
  • Personeelszaken, etcetera

B. Ga vervolgens na wat voor verwerkingen er plaatsvinden ten aanzien van deze persoonsgegevens.

Bijvoorbeeld:

  • De afdeling sales verwerkt alle informatie die zij over de (potentiële) klanten verzamelt in een Cliënt Management Systeem dat als een SaaS-oplossing wordt aangeboden door een derde.

C. Ga per verwerking na:

  1. Voor welk doel worden/zijn de persoonsgegevens verzameld? Bijvoorbeeld het leveren van gevraagde diensten of goederen of het uitbrengen van offerte.
  2. Is dat doel medegedeeld aan de betrokkenen of is het zo vanzelfsprekend dat de betrokkene verwerking voor dat doel kan verwachten?
  3. Voor welke (andere) doel(en) worden de persoonsgegevens feitelijk verwerkt? Bijvoorbeeld het sturen van ongevraagde aanbiedingen.
  4. Wat is de grondslag voor de verwerking en is deze nog actueel?
  5. Op wat voor categorieën betrokkenen zien de persoonsgegevens?
  6. Van wie ontvangt u de betreffende persoonsgegevens, waarvoor, op basis waarvan? Bijvoorbeeld van de (potentiële) afnemer zelf omdat hij een webformulier heeft ingevuld.
  7. Wie heeft er binnen uw organisatie toegang tot welke persoonsgegevens en waarom?
  8. Aan wie verstrekt u persoonsgegevens, waarvoor, op basis waarvan?
  9. Hoe lang bewaart u de persoonsgegevens?
  10. Geeft u persoonsgegevens door aan ontvangers in derde landen (buiten EU)? Zo ja, aan welke landen/organisaties en op welke basis?

Verwerkingenregister

Leg alle gegevens die uit de nulmeting volgen zo helder mogelijk vast in een verwerkingenregister, ook als u daartoe niet verplicht bent (in een latere blog zullen we op de registerplicht ingaan).

Na het doorlopen van de nulmeting heeft u een set basisgegevens van waaruit u verder kunt werken aan het AVG-proof maken van uw organisatie.

To be continued…

In onze volgende blog in de serie blogs over privacy zal nader ingegaan worden op datalekken.

Reacties

Nog geen reacties

Laat een reactie achter
  • Wordt niet openbaar gemaakt
Start chatgesprek

Medewerkers zijn nu beschikbaar

Onze medewerkers zijn nu online om uw zakelijke vragen te beantwoorden. Vul de naam van uw organisatie in en klik op "Start chat" om een chatgesprek te starten.

Sorry, de chat is momenteel niet beschikbaar