Your address will show here +12 34 56 78
het AVG stappenplan

een initiatief van LEAN LAWYERS

Waarom dit stappenplan?

 

 

De AVG is van belang voor elke organisatie, voor elke ondernemer. Helemaal vanaf 25 mei 2018.


Alle ondernemingen krijgen dan namelijk te maken met deze ‘nieuwe’ privacywetgeving. Stap voor stap brengen we je op de hoogte en wijzen wij je de weg. 


Het AVG stappenplan, een initiatief van de privacyadvocaten van LEAN LAWYERS. Heb je vragen of wil je overleggen, dat kan uiteraard altijd vrijblijvend.

  • Text Hover
Stap 1 - Vaststellen

Stel vast of jouw onderneming persoonsgegevens verwerkt

Wat is dat dan?

Een persoonsgegeven is informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, geheel of gedeeltelijk geautomatiseerd of in een bestand opgenomen. Met andere woorden, ieder stukje informatie dat je bewaart, waarmee je iemand kunt herkennen of opzoeken is een persoonsgegeven. 


In de praktijk komt dit neer op bijvoorbeeld adresgegevens, pasfoto’s, telefoonnummers, e-mailadressen en bijvoorbeeld persoonlijke dossiers.

 

 

Stap 2 - Inventariseer

Welke persoonsgegevens verwerkt jouw onderneming, waar komen ze vandaan en wie kan er bij

 

Hoe doe ik dat?

Zoek bijvoorbeeld uit welke medewerkers toegang hebben tot de dossiers van klanten en wat daar precies in staat.


Bedenk je steeds of het nodig is dat bepaalde gegevens bewaard worden en wie die gegevens precies moet kunnen inzien.

 

 

Stap 3 - Privacy verantwoordelijke

Stel een privacy verantwoordelijke aan

Aanstellen

Als je hebt vastgesteld dat jouw onderneming persoonsgegevens verwerkt, stel dan een privacy verantwoordelijke aan.


Leg schriftelijk vast wie het binnen jouw onderneming is, zodat het ook voor buitenstaanders – zoals klanten en de Autoriteit Persoonsgegevens (AP) – duidelijk is wie deze rol vervult.

 

 

Stap 4 - Bewustwording

Zorg voor bewustwording binnen jouw onderneming

 

Het is belangrijk dat alle medewerkers binnen jouw onderneming zich bewust zijn van de regels en voorschriften rondom privacy. Dit kan je bereiken door bijv. training en voorlichting. Deze bewustwording is in heel veel situaties belangrijk.


Stel dat een van je medewerkers een telefoon laat liggen in de trein, weet dan iedereen wat ze moeten doen? En is het duidelijk dat dit een datalek kan betekenen? En dat het niet melden hiervan bij de Autoriteit Persoonsgegevens (AP) tot hoge boetes kan leiden?


Zorg dat alle medewerkers binnen jouw onderneming goed op de hoogte zijn van de regels en wetten en dat iedereen weet hoe om moet worden gegaan met privacy.

 

 

Stap 5 - Beveiliging

Zorg voor uitstekende beveiliging

Passende maatregelen

Breng het beveiligingsniveau en de risico’s in kaart.


Je moet volgens de AVG “passende technische en organisatorische” maatregelen nemen.


Het verkrijgen van een beveiligingscertificaat is ook het overwegen waard, intern bijvoorbeeld een ISO 27001 certificaat en voor je website bijvoorbeeld een SSL certificaat. De kosten daarvan vallen vaak reuze mee.

 

 

Stap 6 - Privacy policy (intern)

Stel een intern privacybeleid op 

Intern regelen

Door een intern privacy beleid op te stellen, zorg je er voor dat binnen jouw onderneming goed wordt omgegaan met (bijzondere) persoonsgegevens en eventuele datalekken. Dit wordt ook wel een privacy policy of privacyreglement genoemd en wordt vaak vastgelegd in het personeelshandboek.


Schrijf bijv. op wie welke gegevens mag inzien, hoe er omgegaan moet worden met beveiliging en datalekken en welke gegevens bewaard worden en hoe lang. Dit beleid ziet niet alleen op klanten en/of relaties, maar over de (bijzondere) persoonsgegevens van medewerkers en sollicitanten.


Deel dit goed met iedereen in jouw organisatie, zodat iedereen zich er van bewust is.

 

 

Stap 7 - Protocol Datalekken

Stel een protocol voor datalekken op

Wat te doen

Maak – aanvullend op stap 6 – een protocol voor datalekken. Doe dit voor 25 mei 2018, want anders loop je de kans hoge boetes te krijgen.


In het Protocol Datalekken neem je op wat de vereiste handelingen van medewerkers zijn bij datalekken.


Als iemand bijv. een laptop verliest of zijn/haar telefoon in de trein laat liggen, hoe ga je daar dan als onderneming mee om?


Zorg ervoor dat dit goed en bij iedereen duidelijk is, communiceer en documenteer dit.

 

 

Stap 8 - Verwerkers-overeenkomsten

Zorg voor de juiste verwerkersovereenkomsten

Afspraken maken

Zorg dat je goede verwerkersovereenkomsten hebt.


Als je bijv. een opdracht uitvoert of laat uitvoeren waarbij een verwerking van (bijzondere) persoonsgegevens plaatsvindt, dan heb je een verwerkersovereenkomst nodig.


In deze verwerkersovereenkomst leg je de gemaakte afspraken vast. Je documenteer met deze overeenkomst dat de partij die in jouw opdracht de (bijzondere) persoonsgegevens verwerkt, op dezelfde nette manier met deze gegevens omgaat als jouw organisatie en leg je schriftelijk vast dat (ook) zij aan de AVG zullen voldoen.


Betreft dit een organisatie gevestigd buiten de Europese Unie?


Dan dien je de afspraken extreem goed vast te leggen.

 

 

Stap 9 - Privacy statement

Stel een (externe) privacyverklaring op

Externe uitleg

Schrijf een privacy verklaring voor externe doeleinden. Zo een verklaring wordt in de AVG ook wel een (externe) privacy statement genoemd.


Leg hierin helder uit welke gegevens jouw organisatie bewaart, waarom zij dat doet en waar deze gegeven voor gebruikt worden. De AVG verplicht je dat in hele heldere taal te doen. In ‘Jip en Janneke’ taal zo gezegd.


Zo weet iedereen wat er binnen jouw onderneming met bepaalde gegevens gebeurt. Het geeft je ook iets om naar te verwijzen als iemand vragen heeft.

 

 

Stap 10 - Functionaris gegevensverwerking

Check of er een privacyfunctionaris moet worden aangesteld

Nodig of niet?

Een privacyfunctionaris – officieel Functionaris voor de gegevensbescherming (FG) genoemd – moet kort gezegd worden aangesteld als de organisatie als kernactiviteit grootschalig bijzondere persoonsgegevens verwerkt of regelmatige en stelselmatige observatie toepast en/of mensen profileert bij bijv. risicoinschattingen.


Daarnaast zijn overheidsinstanties en publieke organisaties altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken. 


De FG heeft een andere – meer betrokken – rol dan de privacy verantwoordelijke die bij stap 3 wordt genoemd.


 

 

 

Stap 11 - Opzetten register

Check of er voor jouw organisatie een register moet worden opgezet

Is dit nodig?

Als er 250 of meer personen in dienst zijn, bijzondere persoonsgegevens worden verwerkt of de verwerking risico’s inhoudt voor betrokkenen, dan moet jouw organisatie sowieso een register opzetten en bijhouden. 


Heb je personeel in dienst? Dan ben je ook al gauw verplicht om een register op te zetten.


Iedere organisatie krijgt vroeg of laat – in meer of mindere mate te maken met uitval in verband met ziekte. Gegevens over gezondheid worden ook betiteld als bijzondere persoonsgegevens? En wat dacht je van het BSN- en IBAN-nummer wat te gelinkt is aan de gegevens van de medewerkers?


Ons advies luidt, zet – ongeacht de grootte van jouw organisatie – altijd een register op!

 

 

Stap 12 - PIA verplicht?

Check of een Privacy Impact Assessment (PIA) verplicht is

Soms verplicht

Een PIA is in sommige gevallen verplicht. Bijvoorbeeld bij gegevensverwerking met een hoog risico, zoals bij medische gegevens of automatische claimbeoordeling bij verzekeringen.


Een PIA is ook verplicht als sprake is van stelselmatige of grootschalige monitoring van publieke ruimtes. Denk hierbij aan een groot beveiligingsbedrijf.


Ook als er op grote schaal bijzondere persoonsgegevens worden verwerkt of bijvoorbeeld onderzoeken naar kredietwaardigheid worden gedaan, ben je als organisatie op basis van de AVG verplicht om een PIA uit te voeren.

 

 

Neem contact op

Laat het ons weten als je vragen hebt. Wij kunnen je altijd verder helpen. Bellen of mailen kan gewoon vrijblijvend.

Kantoor

Maliestraat 3, 3581 SH Utrecht

Contactgegevens

+31 (0)85 303 64 29
avg@leanlawyers.nl
www.avgstappenplan.nl

Stel direct je vraag