Van onze partner Randstad

Check jouw AVG-status en voorkom boetes

Check jouw AVG-status en voorkom boetes

Het zal niemand zijn ontgaan dat er vanaf 25 mei wordt gecontroleerd op naleving van de Algemene verordening gegevensbescherming (AVG) door bedrijven. De media berichten al wekenlang over de mogelijkheid op hoge boetes. Reden voor paniek? Nee, maar check wel even of jouw AVG-zaken op orde zijn.

De Algemene verordening gegevensbescherming (AVG) is de Nederlandse versie van de General Data Protection Regulation (GDPR). Dat is de Europese privacywetgeving vanaf 25 mei dit jaar wordt gehandhaafd. In de wet staat onder andere dat bedrijven precies moeten bijhouden welke persoonsgegevens ze verzamelen, waarom ze dat doen en hoelang de gegevens bewaard blijven. 

In de AVR is ook geregeld dat mensen meer te zeggen hebben over de verwerking van hun persoonlijke gegevens. De verstrekker moet de toestemming voor het gebruik van die gegevens gemakkelijker kunnen intrekken dan voorheen. Zo moet het mogelijk zijn ook het gebruik door derde partijen stop te zetten met één verzoek bij het bedrijf dat de persoonsgegevens als eerste heeft opgeslagen. De gegevens moeten daarnaast makkelijker opvraagbaar worden in een standaardformaat zodat bijvoorbeeld switchen tussen aanbieders eenvoudiger wordt.

Hoge boetes
Europese toezichthouders kunnen overtreders van de AVG bestraffen. In Nederland is dat een klus voor de Autoriteit Persoonsgegevens (AP). De boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde bedrijfsomzet. Aleid Wolfsen, voorzitter van AP, heeft aangegeven dat de focus voor de handhaving aanvankelijk ligt op organisaties met meer dan 250 medewerkers. Dat wil niet zeggen dat andere bedrijven niet worden beboet: alle ondernemingen moeten volgens AP aan de wet voldoen.

Checklist
Het gaat er volgens de AP vooral om dat zowel grote bedrijven als MKB'ers  aantonen dat ze hun best doen om aan de voorwaarden te voldoen. Onderstaande aandachtspunten vormen daarvoor een handige checklist. Als je deze zaken op orde hebt dan ben jij AVG-wise goed bezig.

Projectleider
Benoem iemand binnen jouw bedrijf die verantwoordelijk is voor aanpassingen met het oog op de AVG.

Communicatie
Zorg dat iedereen in de organisatie die met persoonsgegevens werkt de nieuwe eisen kent en naleeft.

Documentatie
Leg vast welke persoonsgegevens worden verzameld, waarom, hoelang en met  wie ze worden gedeeld.  

Risicobepaling
Als de verwerking van persoonsgegevens privacyrisico's met zich meebrengt, moet er verplicht een Data Protection Impact Assessment (DPIA) plaatsvinden.  Die legt de risico's bloot waarop maatregelen genomen kunnen worden. Bepaal of die situatie voor jouw bedrijf bestaat.

Privacy by design & default
Ontwerp producten en diensten zo dat verstrekte persoonsgegevens meteen  worden beschermd. Vraag alleen noodzakelijke gegevens en bewaar die niet langer dan nodig. Laat klanten zelf beslissen over de inzet van persoonsgegevens. Reeds aangevinkte opties op een invulformulier zijn bijvoorbeeld niet meer toegestaan.

Functionaris
Overheidsorganisaties en sommige bedrijven moeten verplicht een functionaris voor gegevensverwerking (FG) aanstellen. Anderen mogen dat vrijwillig doen. Bepaal of dat raadzaam is voor jouw organisatie.

Meldplicht datalek
Een datalek moet worden gemeld bij de AP. Organiseer een procedure voor het opsporen, documenteren en aanpakken van zo'n lek.

Verwerkers
Worden persoonsgegevens verwerkt door een externe organisatie? De AVG stelt eisen aan verwerkingsovereenkomsten. Check of jouw afspraken conform de wet zijn.

Toestemming
Vraag op heldere wijze toestemming voor het gebruik van persoonsgegevens. Maak heel duidelijk wat het doel is. Zorg ook dat mensen hun toestemming makkelijk in kunnen trekken.

Uitoefening rechten
De AVG geeft mensen meer recht op privacy. Zorg dat klanten daar ook gebruik van kunnen maken door processen en techniek daarop af te stemmen.

Meer weten? In de werkpocket van Randstad vind je alle actuele info over de nieuwe wet- en regelgeving in één handig overzicht.