NIEUWS & MEER

Checklist AVG: heeft jouw bedrijf het op orde?

In mei 2018 is de Algemene Verordening Gegevensbescherming in de Europese Unie in werking getreden. Dat deze nieuwe privacywet van kracht is, is jou als ondernemer inmiddels vast bekend, maar wat de nieuwe regelgeving nu precies inhoudt, is vaak niet duidelijk.

bolletjes-orangje
achtergrond-header-1

In mei 2018 is de Algemene Verordening Gegevensbescherming in de Europese Unie in werking getreden. Dat deze nieuwe privacywet van kracht is, is jou als ondernemer inmiddels vast bekend, maar wat de nieuwe regelgeving nu precies inhoudt, is vaak niet duidelijk. Bij veel ondernemers hangt de implementatie van de AVG dan ook nog als een donkere wolk boven het hoofd. Alle regels en verplichtingen, maar voornamelijk de torenhoge boetes bij een foutieve of ontbrekende implementatie kunnen ervoor zorgen dat jij als ondernemer door de bomen het bos niet meer ziet.  

Kort gezegd mag jij als ondernemer alleen persoonsgegevens verzamelen indien je hier een legitiem doel voor hebt, toestemming hebt en voldoende openheid biedt. De mogelijkheid om persoonsgegevens te verzamelen van bijvoorbeeld jouw websitebezoekers of jouw personeel is dan ook niet grenzeloos. Je dient bijvoorbeeld de betrokkenen inzicht te geven in hun persoonsgegevens of de gegevens zelfs te verwijderen indien daarom wordt verzocht. Om de AVG wat inzichtelijker te maken, hebben de Legal Business Partners van RIDE een heldere checklist voor jou opgesteld.

Stap 1 – Inventariseren welke persoonsgegevens op welke manier worden verzameld.

Ten eerste is het van belang dat je op een rijtje zet welke persoonsgegevens je van bijvoorbeeld klanten en websitebezoekers verzamelt en hoe je aan deze gegevens komt. Een voorbeeld is dat je e-mailadressen verzamelt van klanten doordat zij zich aanmelden voor de nieuwsbrief. Maar denk ook aan adresgegevens waar een bestelling naartoe wordt verstuurd

Stap 2 – Categoriseren van persoonsgegevens

Vervolgens is het van belang om te kijken welke soort persoonsgegevens jouw onderneming verzamelt. Hierin dient een onderscheid te worden gemaakt tussen normale persoonsgegevens en bijzondere persoonsgegevens. Deze laatste categorie ziet voornamelijk op medische gegevens of bijvoorbeeld gegevens omtrent de strafrechtelijke vervolging van een klant. Met bijzondere persoonsgegevens dien je logischerwijs voorzichtiger om te gaan. De wet stelt aanvullende eisen aan het verwerken van deze gegevens.

Stap 3 – Vaststellen van het doel van het verzamelen van de gegevens

Stap 3 is kijken naar het doel waarvoor je deze gegevens gebruikt en of dit wettelijk is toegestaan. Zo mag je e-mailadressen die je verzamelt om de nieuwsbrief aan te sturen niet zonder toestemming van de betrokkene gebruiken voor een ander doeleinde, bijvoorbeeld voor direct marketing. De persoon van wie de gegevens zijn moet weten welke gegevens van hem worden verzameld en met welk doel deze worden verwerkt. Ook kan hij te allen tijden inzicht vragen in de gegevens en een verzoek indienen om de gegevens te laten vernietigen.

Stap 4 – In kaart brengen welke derde partijen betrokken zijn

Er is een grote kans dat een derde partij inzicht heeft in de gegevens die jij hebt verzameld. Te denken valt aan een salarisadministratiekantoor dat de NAW-gegevens van jouw werknemers inziet of het ICT-bedrijf dat een back-up maakt van jouw verwerkingsregister. Met deze derde partijen dienen overeenkomsten te worden gesloten om ervoor te zorgen dat zij net zo zorgvuldig omgaan met de persoonsgegevens als jij dat doet.

Stap 5 – Het aanstellen van een Functionaris Gegevensbescherming (FG)

Het kan zijn dat jouw onderneming verplicht is om een Functionaris Gegevensbescherming aan te stellen. Dit is een persoon die ervoor zorgt dat de AVG wordt nageleefd en dat er aan alle vereisten wordt voldaan. Er dient in drie gevallen een FG te worden aangesteld:

  • In het geval jouw onderneming zich voornamelijk bezighoudt met het op grote schaal verwerken van persoonsgegevens;
  • In het geval het gaat om een overheidsorgaan;
  • In het geval jouw onderneming zich voornamelijk bezighoudt met het verwerken van bijzondere persoonsgegevens.

Valt jouw onderneming niet binnen een van deze drie categorieën? Dan hoeft er geen FG te worden aangesteld.

Let op! Deze checklist biedt slechts een algemeen overzicht van hetgeen waar jij als ondernemer op dient te letten. Over het algemeen dient als uitgangspunt te worden genomen dat je zo min mogelijk (bijzondere) persoonsgegevens verwerkt en dat je voor de verwerking toestemming hebt ofwel op grond van de wet ofwel direct van de betrokkene.

Nu het inzichtelijk is welke gegevens jij verzamelt, met welk doel en wie er toegang hebben tot deze gegevens, dienen de benodigde documenten te worden opgesteld. Het gaat hier onder andere om een Privacy Statement, Verwerkersovereenkomsten, een Verwerkingsregister, een Beveiligingsbeleid en een Protocol Meldplicht Datalekken. Met deze documenten zorg jij ervoor dat jouw onderneming volledig AVG-proof is.

De Legal Business Partners van RIDE stellen graag deze documenten samen met jou op. Het kan natuurlijk zijn dat jij zelf al begonnen bent met de implementatie. In dat geval checken we graag voor je of jouw onderneming aan alle vereisten van AVG voldoet en waar nodig zullen we aanpassingen doorvoeren. Een prijsindicatie kan je hier vinden.

Ook bij overige vragen omtrent de AVG kan je vrijblijvend contact opnemen met de Legal Business Partners van RIDE:

facebook-ride-image

Ride gaat over jou, als ondernemer. Jouw Ride, waar de juristen van Ride mee instappen om je onderneming te ontzorgen van juridische zaken.

+31 (0)85 130 82 32
info@ride.nl

Scroll naar top