AVG Desk: heldere uitleg specifiek voor uw organisatie
Niet iedere organisatie heeft dezelfde verplichtingen ten aanzien van de AVG. Dit hangt onder meer af van de grootte en het type organisatie en het type persoonsgegevens dat u verwerkt.
Zeker is wel: iedere organisatie krijgt met de AVG te maken en de boetes bij overtredingen zijn fors. Een kort overzicht van de verplichtingen die voortkomen uit de AVG.
De verwerkersovereenkomst: een handige checklist
Als u de verwerking van persoonsgegevens uitbesteedt aan een derde partij, dan dient er schriftelijk een verwerkersovereenkomst te worden gesloten. U bent dan verwerkingsverantwoordelijke en de andere partij is de verwerker.
De verwerkersovereenkomst bevat onder meer een omschrijving van het onderwerp, de duur, de aard en de doeleinden van de verwerking.
In onze checklist verwerkersovereenkomst staan alle vereisten die de AVG stelt aan deze overeenkomst.
Let op!
Als u uw verwerkersovereenkomsten nooit checkt, dan is de kans groot dat u nu of binnenkort niet meer voldoet aan de AVG. Wellicht verwerkt u inmiddels andere type persoonsgegevens, hebben zich incidenten voorgedaan of hebben betrokkenen gevraagd om wijzigingen in de verwerking van hun persoonsgegevens. Check daarom jaarlijks uw verwerkersovereenkomsten.
het verwerkingsregister
Het verwerkingsregister bevat een overzicht van de verwerkingen van persoonsgegevens die binnen een organisatie plaatsvinden. Als uw organisatie meer dan 250 personen in dienst heeft, bent u verplicht om een dergelijk overzicht op te stellen. Ook als u minder medewerkers in dienst hebt, kan een verwerkingsregister noodzakelijk zijn. Op de site van de Autoriteit Persoonsgegevens vindt u hier alles over.
Data protection impact assessment (DPIA)
Levert de verwerking van persoonsgegevens een hoog privacyrisico op voor de mensen van wie de organisatie gegevens verwerkt? Dan is een Data protection impact assessment (DPIA) verplicht.
Met een DPIA brengt u vooraf privacyrisico’s in kaart. Daarnaast geeft u aan waarom de beoogde verwerkingen noodzakelijk zijn en toont u aan welke maatregelen u treft om de risico’s aan te pakken.
Meer weten over een DPIA? Lees onze blog ‘Gevoelige persoonsgegevens verwerken? Voorkom problemen met een goede DPIA!’
Omgaan met datalekken
Van een datalek is sprake als een kwetsbaarheid in de security heeft geleid tot vernietiging, verlies of wijziging van persoonsgegevens of als er sprake is van verstrekking of toegang tot persoonsgegevens zonder dat dit de bedoeling was.
Indien een datalek heeft plaatsgevonden, dient u dit - als u verwerkingsverantwoordelijke bent - uiterlijk binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. In sommige gevallen bent u ook verplicht de betrokkenen te informeren.
Een datalek kan resulteren in veel schade voor de organisatie, maar ook voor de betrokkenen. Zonder vertraging handelen is essentieel, daarom is het verstandig om binnen de organisatie een protocol datalekken op te stellen.
Lees ook onze blogs:
Functionaris Gegevensbescherming (FG) aanstellen of niet?
De AVG verplicht de aanstelling van een Functionaris Gegevensbescherming in drie gevallen:
in het geval van een overheidsinstantie of publieke organisatie (rechtbanken uitgezonderd);
indien de kernactiviteit van de organisatie ziet op stelselmatige observatie op grote schaal van natuurlijke personen; en
indien de organisatie op grote schaal bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt.
Lees ook onze blog: Autoriteit Persoonsgegevens controleert: heeft u een FG?
Impact van de AVG op uw software
Volgens de AVG bent u wettelijk verplicht om privacybescherming in de software in te bouwen. De verantwoordelijkheid hiervoor ligt in veel gevallen bij de klant. Hij is namelijk ‘gegevensverantwoordelijke’ en bepaalt het doel en de middelen van de verwerking van persoonsgegevens.
De klant zal de vraag echter vaak terugleggen bij de leverancier van zijn software, platform, website of app.
Lees ook onze blog: Is uw software AVG-proof?
Checklist privacyverklaring AVG-proof
De AVG legt u een informatieplicht op. Met een goede privacyverklaring op uw site bent u een heel eind in het voldoen aan deze plicht. In een privacyverklaring verschaft u bezoekers immers informatie over hoe en waarom uw organisatie gegevens verzamelt en verwerkt.
Maar hoe stel je een privacyverklaring op die AVG-proof is? Onze checklist privacyverklaring gaat zeker helpen!
Privacy buiten europa
Buiten Europa wordt anders omgegaan met privacy. Het doorgeven van persoonsgegevens aan landen buiten Europa is dan ook niet zomaar toegestaan. Meer hierover en over de AVG leest u in het artikel ‘ICT & Privacy’.
Ondersteuning bij AVG-implementatie
We hebben al vele organisaties geholpen bij de implementatie van de AVG. Van het opstellen van een verwerkersovereenkomst, Privacy Impact Analyse (PIA) of verwerkingsregister tot het adviseren over een compleet privacybeleid.
Heeft u interesse in een vrijblijvende prijsopgave? Of wilt u nader kennis met ons maken? Bel ons direct via 010 2290 646 of vul onderstaand formulier in en wij nemen zo spoedig mogelijk contact met u op.
Meer weten over de AVG? Lees onze blogs
De aandachtspunten (6) bij AVG-audits in de verwerkersovereenkomst
Datalek bij uw IT-leverancier? Zo verkleint u de impact ervan
Gevoelige persoonsgegevens verwerken? Voorkom problemen met een goede DPIA!
Passende beveiliging volgens de AVG: wat houdt het nu écht in?
Onbeperkte aansprakelijkheid in verwerkersovereenkomst? Niet doen!
Op zoek naar een huisjurist in ICT?
Bent u op zoek naar vaste ondersteuning van een ICT-jurist of tijdelijke ondersteuning bij het opstellen van ICT-contracten of advies bij een geschil? Ook dan bent u bij Legalz aan het juiste adres.