Home ICT Jouw onderneming aanpassen aan de nieuwe AVG-privacywet

Jouw onderneming aanpassen aan de nieuwe AVG-privacywet

485
DELEN

Dat de wet bescherming persoonsgegevens op de schop gaat, dat wisten we al langer. Vanaf 25 mei 2018 treedt dan ook de nieuwe AVG-privacywet in werking in Nederland. Toch zet je maar beter nu al de nodige stappen om de overgang naar de nieuwe wetgeving soepel te laten verlopen. Wij geven de stappen mee die je maar beter doorloopt opdat je volledig voldoet aan de nieuwe privacywetgeving.

Stap 1: Breng het gebruik van persoonsgegevens in kaart

Begin met het gebruik van persoonsgegevens in een handige map uiteen te zetten. Noteer welke gegevens geregistreerd worden, of het gaat om personeelsgegevens of ook om klantgegevens, waar de gegevens geregistreerd worden, welke gegevensstromen ze doorlopen, welke afdeling de gegevens gebruikt en waarom de gegevens gebruikt worden. Klinkt veel werk? In het kader van de nieuwe AVG-privacywet is er een verregaande documentatieverplichting. De meest eenvoudige manier om daar nu al klaar voor te zijn, is weten hoe, waarom en welke gegevens geregistreerd en gebruikt worden. Deadline: 1 januari 2018.

Stap 2: Stel een privacy policy in

Volgens de nieuwe AVG-privacywet moet de onderneming de privacy controleerbaar houden, met andere woorden: de touwtjes in handen hebben. Hiervoor moeten we dan ook regels hebben en moeten we die regels omzetten in een beleid. Na het doorlopen van stap één zal je dan ook een beleid moeten ontwikkelen waarbij je uiteenzet hoe je omgaat met de persoonsgegevens van iedere categorie. Zo kan er bijvoorbeeld een hoofdstuk geschreven worden voor de categorie sollicitanten, klanten en werknemers. In ieder hoofdstuk stel je gedragsregels en een eventueel draaiboek op, zo kan je snel ingrijpen bij incidenten. Deadline: 1 januari 2018.

Stap 3: Voldoe aan de Meldplicht Datalekken

De Meldplicht Datalekken is op dit moment eigenlijk al van toepassing, maar lang niet alle ondernemingen voldoen eraan. In de praktijk ontstaan de meeste datalekken dan ook door menselijke fouten. Het nemen van maatregelen om dat te voorkomen, is een belangrijk aspect binnen de nieuwe AVG-privacywetgeving. Aangeraden wordt dan ook om begin 2018 al een opleiding te (laten) organiseren waarin de privacy awareness, het ingevoerde privacybeleid en een korte introductie van de striktere wetgeving aan bod komen. Deadline: 1 februari 2018.

Stap 4: Moet je een functionaris voor gegevensbescherming aanstellen?

In sommige gevallen zal een functionaris voor de gegevensbescherming moeten aangesteld worden. In de praktijk gaat het om ondernemingen die op grote schaal individuen volgen of op grote schaal bijzondere persoonsgegevens verwerken, waarbij een en ander ook een kernactiviteit moet vormen. De meeste ondernemingen hebben dus zeker geen nood aan een functionaris voor de gegevensbescherming. Is dat wel zo? Weet dan zeker dat een functionaris geen voltijdse functie hoeft in te nemen. Deadline: 1 februari 2018.

Stap 5: Voer aanpassingen door aan het proces en de privacy statement

Met de nieuwe AVG-privacywet komen er striktere toestemmingsvereisten dan we kennen onder de Wbp. De toestemming moet heel specifiek en ondubbelzinnig gevraagd worden. Het mag bijvoorbeeld niet gaan om een vooraf aangevinkt vakje of gewoon op basis van een stilzwijgen. Je vraagt dus best expliciet de toestemming, laat een vakje aanvinken en geef op het einde van het registratieproces nogmaals een melding weer. Voor de gegevens van kinderen (jonger dan 16 jaar) zal je de toestemming van de ouders moeten verkrijgen. Ook in je privacy statement op je website, zal je hier mogelijks aanpassingen voor moeten doen. Die aanpassingen kunnen al gebeuren voor 25 mei 2018, aangezien dit nog steeds voldoet aan de intussen nog geldende Wbp. Deadline: 1 maart 2018.

Stap 6: Controleer eventuele overeenkomsten

Wanneer je persoonsgegevens verwerkt en hierover overeenkomsten hebt gesloten, dan moeten deze mogelijks herzien worden opdat ze opnieuw voldoen aan de AVG-privacywet. Het hoeft hierbij niet alleen te gaan over reclamebureaus, maar het kan bijvoorbeeld ook gaan om niet-Europese hostingbedrijven waar de gegevens online geregistreerd worden. Bekijk een en ander na of ga langs bij een jurist. Aangezien contracten aanpassen enige tijd in beslag kan nemen, begin je hier beter tijdig mee. Deadline: 1 maart 2018.

Stap 7: Ga na of er bijkomende verplichtingen zijn

In sommige gevallen kunnen er ook bijkomende verplichtingen gelden voor je onderneming. Zo kan bijvoorbeeld een PIA (privacy impact assessment) verplicht zijn. Zo’n PIA kan ook, indien het niet verplicht is, interessant zijn om tot een stand van zaken te komen en een en ander te beoordelen in functie van de wettelijke verplichtingen. Wij kunnen alvast aanraden om in de loop van maart 2018 zo’n audit te laten uitvoeren en op die manier helemaal klaar te zijn voor de ultieme deadline van 25 mei 2018.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here