7 stappen voor de AVG wet in 2020

AVG wet Spy-Fy

Sinds 25 mei 2018 is er één privacywet geldig voor de Europese Unie, deze is er in plaats van verschillende wetten naast elkaar. Deze wet is de AVG, ofwel de wet Algemene Vordering Persoonsgegevens. Sinds de invoering van de AVG hebben mensen meer te zeggen over hun gegevens en wat ermee wordt gedaan door bedrijven. Hieronder wat veelgestelde vragen over de AVG!

Wie moet zich aan de AVG wet houden?

De AVG is voor alle organisaties die persoonsgegevens vastleggen van mensen (klanten, personeel, leveranciers etc.). De wet geldt voor bijna alle ondernemers, dus ook voor zzp’ers, scholen en verenigingen. Er zijn veel dingen die onder de AVG vallen: niet alleen namen, maar ook bijvoorbeeld e-mailadressen, pasfoto’s en IP-adressen. Als je een factuur, offerte of zelfs een nieuwsbrief stuurt heb je al met de wet te maken. Als je wil weten wat je  moet doen om je aan de AVG wet te houden, lees dan vooral even verder voor het AVG wet checklist!

In 7 heldere stappen voorbereid op de AVG wet

 

  1. Wees op de hoogte

De AVG wet heeft veel invloed op bedrijven en de dagelijkse gang van zaken. Het is daarom belangrijk dat iedereen ervan weet en ernaar kan handelen. Omdat de mensen van wie je de gegevens verwerkt meer rechten hebben gekregen, is het ook belangrijk dat zij hun rechten kunnen uitoefenen. Volgens de AVG heb je zogenaamde informatieplicht. Dit betekent dat je degene van wie je de gegevens verwerkt duidelijk moet informeren. Deze  info moet beschikbaar zijn op het moment dat je de gegevens van iemand verzamelt.

  1. Maak een privacybeleid

In sommige gevallen is het opstellen van een privacybeleid, ofwel een gegevensbeschermingsbeleid, verplicht. Maar is het nu verplicht of niet, het is altijd handig om er één op te stellen. Op deze manier is het voor iedereen binnen en buiten je organisatie duidelijk hoe je met gegevensverwerking van personen omgaat. Let bij het maken van het beleid op de aard, omvang, context, en het doel van de gegevenswerking.

  1. Zorg dat je overzicht houdt op wat je verwerkt en waarom

Wanneer je persoonsgegevens verwerkt, zorg dan dat je vastlegt welke gegevens je verwerkt en met welk doel. Ook moet je kunnen aantonen waar je de gegevens vandaan hebt en met wie je ze deelt. Dit is ook wel de zogenaamde ‘documentatieplicht’ die met de AVG komt.

  1. Kies een aanpak

Er zijn twee manieren om met persoonsgegevens om te gaan: privacy by design en privacy by default. Privacy by design is een manier die als het ware verwerkt is in een vroeg stadium van een proces. Zoals de naam al zegt: ‘by design’, dus in het ontwerp. Dit betekent dat er aandacht moet zijn voor privacy bij het verkopen van een product of dienst. Is het bijvoorbeeld écht nodig om naar bepaalde gegevens van klanten te vragen, zoals hun geboortedatum?

Privacy by default kan een onderdeel zijn van privacy by design. ‘Default’ betekent standaard en deze manier van gegevensverwerking gaat dus over standaardinstellingen. Standaardinstellingen moeten zo privacy vriendelijk als mogelijk zijn. Voorbeeld: je profiel op Facebook. Dat laat standaard bepaalde gegevens niet zien, tenzij je instelt dat het openbaar is.

  1. Controleer hoe je toestemming vraagt voor verwerking persoonsgegevens

In veel gevallen mag je alleen gegevens van mensen verwerken als je daarvoor hun toestemming hebt gekregen. Sinds de AVG wet is ingevoerd zijn hier strengere eisen voor. Controleer daarom goed de manier waarop je toestemming vraagt, krijgt en vastlegt. Hou er rekening mee dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken, als om die te geven.

  1. Stel een functionaris gegevensbescherming aan (FG)

Een functionaris gegevensbescherming (FG) houdt toezicht op de toepassing en het naleven van de AVG wet. In sommige gevallen is het verplicht om een FG aan te stellen (wanneer je een overheidsinstantie/publieke organisatie bent of je op grote schaal individuen observeert of bijzondere persoonsgegevens verwerkt). Is het niet verplicht, dan kun je er alsnog voor kiezen om er wel één vrijwillig aan te stellen.

  1. Bepaal of het nodig is om een DPIA uit te voeren

DPIA staat voor Data Protection Impact Assessment. Met een DPIA kun je de privacyrisico’s van een bepaalde gegevensverwerking in kaart stellen. Op deze manier kun je maatregelen nemen om de risico’s te verkleinen. Alleen als betrokkenen op grote schaal een hoog risico lopen bij de gegevensverwerking.

Wat als ik me er niet aan houd?

In Nederland houdt de AP (Autoriteit Persoonsgegevens) toezicht op de wet en handhaaft deze. De AP kan je sancties opleggen en hoge boetes geven (tot wel 20 miljoen euro in extreme gevallen!) als je je niet houdt aan de AVG wet.

Scroll naar top