Geen producten in de winkelwagen.
1. Waar staan mijn data?
De nieuwe wet verlangt dat jij weet waar persoonsgegevens vandaan komen en waar ze worden opgeslagen. Je moet daarom een duidelijk beeld hebben in je ‘dataflows’: waar staan de data en waar komen ze vandaan? Om te kunnen aantonen dat je hier inzicht in hebt, houd je registers bij. Hieruit moet blijken waar jouw bedrijf persoonsgegevens bewaart, en of ze van de betrokken personen zelf komen of van andere partijen.
2. Hoe verkrijg ik mijn data?
Ook moet je goed vastleggen op basis waarvan jouw bedrijf gegevens verzamelt. Is er bijvoorbeeld ‘uitdrukkelijk en expliciet’ toestemming gegeven voor het ontvangen van de persoonsgegevens, of heb je de data op een andere manier verkregen? Dit moet je kunnen laten zien. Bekijk daarom nu alvast goed of, en hoe dit bijgehouden wordt. Als je daarnaast je huidige database van persoonsgegevens wil gebruiken voor nieuwe of andere doeleinden, moet je eerst toestemming vragen aan de personen van wie jij gegevens verzamelt en verwerkt.
3. Wie beschikt nog meer over de persoonsgegevens?
Wat nog meer duidelijk moet zijn, is met wie of welke partijen jouw bedrijf alle bestaande persoonsgegevens deelt. Data mogen namelijk niet zomaar worden gedeeld met derden. Het is dus van belang dat je weet of dit gebeurt, en zo ja, of de betrokken personen hier ook van op de hoogte zijn. Zeker met de hoge(re) boetes en strenge maatregelen van de AVG in het achterhoofd!
4. Wat moet ik nog regelen?
Handig om bij stil te staan is verder wat voor beleidsregels en overeenkomsten jouw bedrijf nog moet opstellen om te voldoen aan de eisen van de AVG.
Denk bijvoorbeeld aan het volgende:
• Leg in beleidsregels vast hoe je datalekken herkent en hoe werknemers moeten handelen als zoiets voorkomt;
• Breng in kaart hoe het zit met de regels rondom privacy van nieuwe producten en services. Voer een zogenaamd ‘Privacy Impact Assessment’ in: zo analyseer je risico’s van nieuwe systemen of nieuwe processen;
• Zorg daarnaast voor een privacyverklaring voor je website, waarmee je je klanten inzicht en helderheid geeft in je activiteiten;
• Denk ook aan het aanpassen of opstellen van bewerkersovereenkomsten met derden, die gegevens verwerken of opslaan voor je bedrijf.
5. Waarom moet ik dit eigenlijk regelen?
Je bedrijf moet voorbereid zijn op eventuele vragen van medewerkers, klanten of van de Autoriteit Persoonsgegevens over het opslaan en verwerken van persoonsgegevens. De Autoriteit Persoonsgegevens krijgt bovendien veel meer bevoegdheden dan nu. Je moet alle vragen daarom goed en volledig kunnen beantwoorden.
In sommige gevallen word je zelfs verplicht om een ‘Data Protection Officer’ (Functionaris voor Gegevensbescherming) aan te stellen. Deze persoon kan betrokkenen informeren over de verwerking van data binnen je bedrijf, maar jou ook adviseren over de naleving van de AVG.
Lees ook:
Privacywet 2018: voorkom een boete en bereid je nu voor!
E-mail- en privacywetgeving: wat mag wel en wat niet?
Zo tem je het privacy-monster GDPR
Photo by Lukas Blazek on Unsplash
