Maak je organisatie in 7 stappen AVG proof

Nieuws

Maak je organisatie
in 7 stappen AVG proof

Heb je voor de AVG voldoende
geregeld in je bedrijf?

bgh_contact_icon

Het is ruim een jaar geleden dat de AVG in werking is getreden. Hoe staat het inmiddels met de privacy in je bedrijf? Is je onderneming al AVG proof? Waar kun je bijsturen? Maak hiervoor de balans op. Ondanks dat de extreme media-aandacht voorbij is, kun je niet achterover leunen. Je moet verplicht zaken geregeld hebben, maar je moet vooral in control zijn over de persoonsgegevens waarvoor je eindverantwoordelijk bent.

Veel ondernemers vragen zich af of ze voor de AVG voldoende hebben geregeld en of dat wat ze hebben gedaan goed is. Wat moet je minimaal geregeld hebben? Je moet kunnen aantonen dat je voldoet aan de AVG. Maak met deze 7 stappen je organisatie AVG proof.

Stap 1: Bewustwording creëren

Je moet er doorlopend voor zorgen dat je medewerkers zich bewust zijn van de persoonsgegevens die verwerkt worden binnen je organisatie. Je kunt hier bijvoorbeeld aandacht aan besteden in interne mailings, trainingen of tijdens bijeenkomsten. Ook een incident dat zich mogelijk heeft voorgedaan in je bedrijf, kun je hiervoor prima gebruiken.

Stap 2: AVG procedure opstellen

Werknemers, klanten en andere betrokkenen hebben specifieke privacy-rechten. Zoals het recht op inzage in de gegevens die je over hen hebt. En het recht om gegevens aan te passen of te verwijderen. Je moet een procedure hebben waarin staat wie wat doet bij een dergelijk verzoek. En binnen welke termijn een verzoek moet zijn afgewikkeld. Zie ook: Wat staat er in een AVG procedure?

Stap 3: Verwerkingsregister opstellen

Elke mkb-organisatie moet een register opstellen waarin onder andere staat:

  • Welke persoonsgegevens je precies verwerkt, met welk doel en wettelijke grondslag
  • De specifieke bewaartermijnen
  • Mogelijke andere dienstverleners die je inschakelt (zogenaamde verwerkers)
  • De beveiligingsmaatregelen die je hebt getroffen

Dit kan op een eenvoudige wijze in een Excel-bestand. In een verwerkingsregister staat wat je hebt geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van dit register kun je bepalen in welk proces of activiteit je zaken nog niet hebt geregeld, welke risico’s je mogelijk loopt en of de maatregelen die je hebt getroffen voldoende zijn. Je kunt dit ook periodiek evalueren.

Stap 4: Procedure datalekken en incidentenregister bijhouden

De meldplicht datalekken is onder de AVG bijna hetzelfde gebleven. Stel dat er een datalek heeft plaatsgevonden. Iemand heeft bijvoorbeeld persoonsgegevens verstuurd naar de verkeerde ontvanger, post is kwijtgeraakt of geopend retour ontvangen. Wat moet je nu doen? Hiervoor heb je een procedure nodig waarin staat wie wat doet bij een datalek. En waar in staat wanneer je een datalek meldt bij de Autoriteit Persoonsgegevens (binnen 72 uur na ontdekking van het datalek) en wanneer je een datalek meldt bij de betrokken personen. De incidenten houd je bij in een incidentenregister. Ook dit kun je in een Excel-bestand bijhouden.

Stap 5: Verwerkersovereenkomsten afsluiten

Nagenoeg ieder bedrijf maakt gebruik van andere leveranciers/serviceproviders die persoonsgegevens verwerken. Denk aan een SAAS-dienstverlener voor de salarisadministratie, een webwinkel of een CRM pakket. Deze leveranciers worden in de AVG verwerker genoemd. In dat geval bent je verplicht verwerkersovereenkomsten af te sluiten met deze leveranciers. Ook je accountant wordt bij bepaalde opdrachten als verwerker aangemerkt. Wij hebben hiervoor diverse standaard-verwerkersovereenkomsten beschikbaar waarin je terug kunt vinden over welke onderwerpen afspraken moeten worden gemaakt.

Verwerken is een breed begrip en er is snel sprake van verwerking van persoonsgegevens. Volgens de AVG gaat het onder andere om het opslaan, wijzigen, raadplegen, doorzenden, verzamelen, opvragen en vernietigen van persoonsgegevens.

Stap 6: Toestemming vragen

Je hebt toestemming nodig om persoonsgegevens te gebruiken. Mensen moeten op de hoogte zijn waarvoor je de gegevens gebruikt en het moet net zo makkelijk zijn om toestemming in te trekken als om toestemming te geven.

Stap 7 : Beveiligingsmaatregelen nemen

Je bent verplicht om maatregelen te nemen voor de beveiliging van persoonsgegevens. Welke maatregelen je moet nemen is afhankelijk van welke persoonsgegevens je verzamelt en waarvoor je ze gebruikt. Voorbeelden van beveiligingsmaatregelen zijn:

  • Wachtwoordenbeleid en rechten- en autorisatiestructuur inrichten
  • Logging en controle van toegang tot de informatiesystemen
  • Implementeren beveiligingsupdates
  • Viruscontrole en firewall inregelen
  • Monitoren kwetsbaarheden op het interne en externe netwerk
  • Fysieke beschermingsmaatregelen treffen
  • Procedures voor opslag, onderhoud en vernietiging van data opstellen
  • Procedures voor het behandelen van datalekken
  • Back-up beleid opzetten en back-ups maken

Meer informatie is beschikbaar op de website van Autoriteit Persoonsgegevens.

Heb je hier verder nog vragen over, neem dan contact met ons op.

Meer weten over dit onderwerp? Neem dan contact op.