2. Inventarisatie
Zorg er voor dat je weet welke persoonsgegevens de organisatie heeft, waar de gegevens vandaan komen (rechtstreeks van de betrokkene of op een andere wijze) en met welke partijen, intern en extern de gegevens worden gedeeld. Stel een zogeheten ‘datamodel’ en CRUD.
3. Register
Maak, zowel als Verwerkingsverantwoordelijke als Verwerker een register van alle soorten verwerkingen zoals die voor klanten, personeel, camerasystemen, debiteuren en crediteuren. Hoewel het verwerkingsregister niet voor alle organisaties verplicht is, kan deze wel ondersteuning bieden voor de verantwoordingsplicht.
Leg als Verwerkingsverantwoordelijke een register aan met daarin welke verwerkers worden ingeschakeld, of er een verwerkersovereenkomst is gesloten, welke verwerkingen de verwerker mag uitvoeren, welke persoonsgegevens beschikbaar worden gesteld en welke extra beveiligingsmaatregelen zijn genomen.
4.Verantwoording
De gegevensverwerking moet niet alleen aan de beginselen voldoen, maar organisaties moeten dit door de AVG ook kunnen aantonen. Voor organisaties betekent dit meer onderbouwen, documenteren en periodiek reviewen.
5. Communicatie
Controleer of de bestaande privacy statements en informatieteksten voldoen aan de inhoudelijke eisen uit de AVG. De AVG geeft een opsomming van de informatie die verstrekt moet worden, zoals:
– de verwerkingsdoeleinden én de rechtsgrond van de verwerking;
– de gerechtvaardigde belangen dienen te worden toegelicht indien de
verwerking hierop is gebaseerd;
– de bewaartermijnen of criteria ter bepaling hiervan;
– de rechten die betrokkene hebben.
6. Rechten van betrokkene
Naast de bestaande rechten (inzage, correctie) bevat de AVG ook nieuwe rechten zoals recht op gegevenswissing (recht op vergetelheid) en recht van dataportabiliteit. Beoordeel de huidige procedures in de organisatie om te zien of en op welke wijze deze rechten door de betrokkene kunnen worden ingeroepen. Stel anders deze procedures op.
7. Verzoek tot toegang
Het recht op inzage is uitgebreid met vereisten welke informatie moet worden verstrekt bij een inzageverzoek. Aanvullend op de reeds bestaande informatie moet ook de bewaartermijn, of criteria ter bepaling hiervan) worden meegedeeld, maar ook het recht om een klacht in te dienen bij de toezichthoudende autoriteit. Indien de organisatie ervoor kiest om toegang tot de gegevens te geven middels een account, dan dient onderzocht te worden op welke wijze kan worden voldaan aan de genoemde vereisten.
8. Grondslag en doelstellingen van gegevensverwerking:
Zowel in de communicatie naar betrokkene als bij een inzageverzoek, dient de organisatie aan te geven voor welke doeleinden zij gegevens verwerken en op welke grondslag. Organisaties dienen dus voor alle gegevensverwerkingen de grondslag en de doeleinden te documenteren.
Indien verwerkt wordt op grondslag ‘gerechtvaardigd’ belang, dan dienen ook deze belangen gedocumenteerd te worden.
Als gerechtvaardigd belang wordt genoemd de verwerking die strikt noodzakelijk is voor fraudevoorkoming en verwerking ten behoeve van Direct Marketing.
Voor statistisch onderzoek geldt, dat een verdere verwerking met het oog op statistisch onderzoek niet als onverenigbaar met de oorspronkelijke doeleinden wordt beschouwd, mits anoniem wordt gerapporteerd.
9. Toestemming
Toestemming moet in het vervolg expliciet worden aangetoond. Voor toestemming die ook betrekking heeft of andere aangelegenheden, gelden specifieke voorwaarden. De organisatie zal de huidige wijze van toestemming vragen dienen te evalueren, de toestemming vast te kunnen leggen in systemen en mogelijkheden bieden om de toestemming in te trekken. Toestemming dient ook verkregen te worden indien er persoonsgegevens verwerkt worden die niet noodzakelijk zijn voor de uitvoering van de overeenkomst.
Het verwerken van bijzondere persoonsgegevens (zoals ras, etnische afkomst, gezondheidsgegevens etc.) is in beginsel verboden. Het verbod kan echter opgeheven worden indien de Verwerkingsverantwoordelijke bijvoorbeeld de uitdrukkelijke toestemming van de betrokkene heeft of de verwerking als zodanig is genoemd in de AVG.
10. Kinderen
Als verwerking plaatsvindt op grond van ‘toestemming’ in verband met het aanbieden van diensten op internet aan een kind, dan mogen de persoonsgegevens van kinderen jonger dan 16 jaar uitsluitend verwerkt worden met toestemming van de ouders/wettelijk vertegenwoordigers. De organisaties moeten bovendien controleren of de ouder/wettelijk vertegenwoordiger verzorger toestemming heeft gegeven. Ga na of uw huidige systemen de leeftijd van het kind kunnen controleren, op welke wijze toestemming aan ouders kan worden gevraagd en hoe deze kan worden vastgelegd.
11. Datalek
Controleer of u sluitende procedures heeft voor het melden van datalekken, de opsporing en het onderzoek naar datalekken. Maar ook procedures voor het melden van datalekken bij de toezichthouder en/of betrokkene. Tevens is van belang om specifieke procedures te hebben voor datalekken die bij bewerkers plaatsvinden.
12. Gegevensbescherming door privacy by design en by default
De organisatie dient (om naleving te kunnen aantonen) interne beleidsmaatregelen te nemen en maatregelen toe te passen die voldoen aan de beginselen van gegevensbescherming door ontwerp (minimalisering van verwerking/pseudonimiseren etc).
Stel procedures op die ervoor zorgen dat de bescherming van persoonsgegevens reeds bij de ontwikkeling van nieuwe producten/diensten, de uitvoering hiervan of de keuze en het gebruik van nieuwe toepassingen reeds in de beginfase wordt onderzocht en uitgewerkt om aan de beginselen van de AVG te kunnen voldoen.
13. Functionaris Gegevensbescherming (FG)/Data Protection Officer (DPO)
Stel vast of uw organisatie verplicht is een FG aan te stellen. Indien er voor de organisatie een verplichting is, dan dient er een FG te worden aangesteld. De AVG geeft tevens voorwaarden aan de positie, kennis en taken van de FG. Geen eigen FG, inlenen is mogelijk.
14. Internationaal (one-stop-shop)
Indien een organisatie meerdere vestigingen in de Europese Unie heeft, dient te worden vastgesteld welke toezichthoudende autoriteit als leidende autoriteit zal optreden voor grensoverschrijdende verwerkingen.
15. Bestaande contracten
De AVG stelt niet alleen voorwaarden aan de inzet van verwerkers maar ook de contractuele bepalingen in de overeenkomst tussen de organisatie en de verwerker. Om aan deze voorwaarden te kunnen voldoen, dient de organisatie de huidige contracten te reviewen, aan te passen en overeen te komen met de verwerkers. Gezien de looptijd van contracten is het aan te raden hier vroegtijdig mee te beginnen.
Voor vragen en advies?
Neem contact op met Singewald Consultants Group B.V.
Telefoonnummer: 0297 – 369 767 of
E-mail info(at)privacy.nl