AVG Checklist: ben jij klaar voor de AVG?

Op 25 mei 2018 wordt de Wet Bescherming Persoonsgegevens vervangen voor de Algemene Verordening Gegevensbescherming (AVG). De AVG is een Europese wet waarbinnen de omgang met persoonsgegevens en het recht op privacy geregeld is. De AVG wet geldt binnen de hele Europese Unie. Bij overtreding van de AVG wet kan een boete opgelegd worden van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Met het opvolgen van de 8 punten uit deze AVG checklist ben je tijdig voorbereid. 

Breng gegevensstromen in kaart 

Breng alle gegevensstromen in jouw organisatie in kaart. Bepaal welke van die stromen persoonsgegevens bevatten. 

Toelichting: 
Leg voor elke verwerking vast met welk doel je die gegevens verwerkt. Het gaat hierbij om alle persoonsgegevens, dus ook om bijvoorbeeld personeelsgegevens, sollicitanten, deelnemers etc. Zo weet je precies wat er speelt binnen jouw organisatie. 

Aanstellen Functionaris Gegevensbescherming 

Bepaal of je volgens de AVG wet een Functionaris Gegevensbescherming (FG) moet aanstellen. Stel de FG tijdig aan indien van toepassing. 

Toelichting: 
Overweeg toch ook een FG aan te stellen als dit geen verplichting is. Dit kan van toegevoegde waarde zijn voor jouw organisatie. De FG hoeft geen fulltime functie te zijn en kan ook iemand zijn die op basis van een opdrachtovereenkomst voor je werkt. 

Stel privacybeleid op 

Leg vast hoe je omgaat met persoonsgegevens binnen jouw organisatie. Werk het beleid verder uit in gedragsregels, werkinstructies en draaiboeken. 

Toelichting: 
Door deze stap ben jeniet alleen op papier, maar ook in de praktijk klaar om snel te handelen bij incidenten. De AVG wet eist dat je aantoonbaar ‘in control’ bent. 

Bepaal de rechtsgeldige grondslagen 

Bepaal voor welke verwerking van persoonsgegevens er een rechtsgeldige grondslag is. 

Toelichting: 
De verwerking van persoonsgegevens mag alleen gebeuren als daar een rechtsgeldige grondslag voor is. Deze grondslagen zijn beschreven en benoemd binnen de AVG wet. 

Pas processen en procedures aan 

Pas processen, procedures en systemen aan. Voer deze tijdig uit en controleer de effectiviteit van aanpassingen. 

Toelichting: 
Privacy by Default en Privacy by Design zijn belangrijke uitgangspunten binnen de AVG wet. Daarnaast worden nieuwe rechten geïntroduceerd voor betrokkenen van wie je gegevens verwerkt. 

Check alle verwerkersovereenkomsten 

Leg een verwerkersovereenkomst vast voor iedere derde partij waaraan de verwerking van persoonsgegevens is uitbesteed. 

Toelichting: 
Hierin borg je wie welke gegevens verwerkt onder welke voorwaarden. Uiteraard dienen deze voorwaarden te voldoen aan de AVG wetgeving. 

Train medewerkers 

Zorg ervoor dat jouw medewerkers op de hoogte zijn van het privacybeleid en van (nieuwe) maatregelen om de veiligheid van de verwerking van gegevens te vergroten. Zet een awareness training jaarlijks op de agenda! 

Toelichting: 
De meeste datalekken ontstaan door menselijke fouten. 

Laat een audit uitvoeren 

Bepaal de huidige stand van zaken en stel vast welke maatregelen je nog moet nemen. 

Toelichting: 
Als er na 25 mei 2018 veranderingen zijn dient je een PIA (Privacy Impact Analyse) uit te voeren om te bepalen of aanvullende maatregelen nodig zijn. 

Meer weten over Information Security bij jou in de organisatie? De consultants van Kader helpen je graag. Neem contact met ons op voor meer informatie.