Een bedrijf afstemmen op de AVG in tien stappen
De AVG in jouw bedrijf inbouwen in tien stappen
Voorkom een boete, bescherm de privacy van je klanten. In de Algemene verordening gegevensbescherming (AVG) worden de gegevens van je klanten en werknemers beschermd. Je moet te allen tijde kunnen aantonen dat je de data veilig hebt opgeslagen. Houd jij je niet aan de regels? Dan kun je een flinke boete verwachten: maximaal €20 miljoen of 4% van je wereldwijde omzet.
Alle ondernemers moeten de privacyregels uit de AVG naleven, ook kleine ondernemingen. Volg deze tien stappen en voorkom een hoge boete.
Bewustwording
De eerste stap is het bewust maken van het personeel dat gegevens van klanten goed beschermd moeten worden. Zij moeten een goede inschatting kunnen maken van hoe gegevens beschermd moeten worden.
Rechten van betrokkenen
Klanten hebben rechten waar iedereen binnen het bedrijf bewust van moeten zijn. Denk hierbij niet alleen aan het recht op inzage en verwijdering, maar ook aan bijvoorbeeld het recht op dataportabiliteit. Hierbij kunnen klanten hun gegevens makkelijk opvragen om deze door te geven aan andere organisaties. Als een klant vraagt om verwijdering, moet je hier in de meeste gevallen binnen een maand gehoor aan geven.
Overzicht verwerkingen
Maak een overzicht van al je verwerkte persoonsgegevens. Noteer waar je de data vandaan hebt, met welk doel je ze hebt opgeslagen en met wie je ze deelt. Zorg dat je ook vermeldt op basis van welke wettelijke grondslag je deze gegevens verwerkt. Administreer dit goed, op verzoek moet je het kunnen aantonen
Privacy Impact Assessment (PIA)
Een Privacy Impact Assessment (PIA) uitvoeren is volgens de AVG verplicht. Deze verplichting geldt alleen als je data verwerkt met een hoog privacyrisico. De PIA is een instrument waarmee je vooraf kunt bepalen wat risico's zijn die horen bij het verwerken van bepaalde persoonsgegevens.
Privacy by design & privacy by default
Deze twee principes staan centraal binnen de AVG. Privacy by design houdt in dat je bij het ontwerpen van producten en diensten al zorgt dat de privacy van klanten gewaarborgd wordt. Privacy by default wil zeggen dat je technische en organisatorische maatregelen moet nemen waardoor je standaard uitsluitend de strikt noodzakelijke gegevens verzamelt voor het specifieke doel.
Functionaris voor de gegevensbescherming
Als je bedrijf op grote schaal persoonsgegevens verwerkt en dit je kernactiviteit is, ben je verplicht een functionaris voor de gegevensbescherming aan te stellen. Ook overheidsinstanties en publieke organisaties moeten zo'n functionaris hebben.
Meldplicht datalekken
De meldplicht van datalekken was er ook al vóór het van kracht worden van de AVG in 2018. Bij de AVG is het echter de bedoeling dat je alle datalekken vastlegt op een manier waarop de Autoriteit Persoonsgegevens precies kan zien of je genoeg hebt gedaan aan het beschermen van de gegevens.
Verwerkersovereenkomsten
Heb jij een overeenkomst met een bewerker (verwerker in de AVG)? Controleer dan goed of de maatregelen die jullie zijn overeengekomen om de privacy te waarborgen genoeg zijn voor de AVG.
Leidende toezichthouder bij internationaal ondernemen
Ben je internationaal actief? Als je in meerdere landen in de EU gevestigd bent, val je maar onder één toezichthouder. Bepaal onder welke je valt en zorg dat jouw bedrijf voldoet aan de gestelde eisen.
Toestemming
De AVG legt strengere regels op omtrent de manier waarop je toestemming vraagt, krijgt en registreert. Je klanten moeten een geldige toestemming geven en deze eenvoudig weer kunnen intrekken. Controleer je formulieren goed en pas ze zonodig aan.
Let op: je hebt ook een documentatieplicht. Dit wil zeggen dat je moet kunnen aantonen dat je technische en organisatorische maatregelen hebt genomen om aan de AVG te voldoen.