CHECKLIST: AVG stappenplan in 20 punten

  1. INVENTARISEER PERSOONSGEGEVENS

    Inventariseer welke persoonsgegevens uw onderneming verwerkt en leg dat vast in een bestand. Gebruikt u bijzondere persoonsgegevens? Dit is wettelijk verboden. Neem dan contact met ons op om na te gaan of de verwerking is toegestaan op basis van een uitzondering.

  2. IS AANSTELLING ‘FUNCTIONARIS GEGEVENSBESCHERMING’ VERPLICHT?

    Ga na of uw onderneming verplicht is om een ‘functionaris gegevensbescherming’ te benoemen.

  3. FORMULIER UW DOELEINDEN

    Stel vast en leg vast waarvoor uw onderneming de persoonsgegevens verwerkt. Dit zijn de “doeleinden”.

  4. CHECK DE GRONDSLAG / RECHTSGROND VAN UW VERWERKING

    Wat is de wettelijke (juridische) basis van uw verwerking? De AVG kent een heel aantal grondslagen. De belangrijkste zijn het uitvoeren van een overeenkomst (bijvoorbeeld met uw opdrachtgever), een gerechtvaardigd belang (bijvoorbeeld een voorkoming van fraude, of directmarketing), het uitvoeren van een wettelijke plicht (bijvoorbeeld fiscale verplichtingen) en verwerking op basis van toestemming.

  5. PROPORTIONALITEIT

    U mag niet meer persoonsgegevens verwerken dan nodig voor het bereiken van uw doel. Gebruikt u meer dan nodig, dan is dat niet legitiem. Als u gegevens verzamelt over en persoon, dient deze wel voldoende te zien om een juist beeld te krijgen voor het doel waarvoor u het gebruikt. Als u gegevens van een klant invoert i.v.m. een klacht, dan dient u zowel de klacht als de contactgegevens van de klant in te voeren. Anders ontstaat een onvolledig beeld (een klant zonder klacht, of een klacht zonder klant).

  6. IS ER SPRAKE VAN GEAUTOMATISEERDE BESLUITVORMING / PROFILING?

    De AVG spreekt over een recht van een betrokkene op besluitvorming door menselijke tussenkomst. In feite is het een verbod op om geautomatiseerde besluiten te nemen die gevolgen hebben voor personen.  Bijvoorbeeld geautomatiseerde besluitvorming rondom het wel of niet verlenen van een krediet of het opzeggen van een arbeidsovereenkomst aan de hand van bepaalde criteria. Doet u aan geautomatiseerde besluitvorming, dan dient dat te worden gemeld in uw privacystatement. Verder dient u na te gaan of de besluitvorming is toegestaan in uw geval.

  7. VAN WIE KRIJGT U PERSOONSGEGEVENS?

    Zorg dat u weet wat de “bron” is van de persoonsgegevens die u verwerkt. U dient dat ook te vermelden in uw privacystatement.

  8. GEEFT U PERSOONSGEGEVENS DOOR?

    Ga na aan welke externe personen of partijen uw organisatie de persoonsgegevens doorgeeft en of de doorgifte toegestaan is. Als u niet zeker weet of u persoonsgegevens mag doorgeven, neem dan contact met ons op. Let op als de doorgifte of opslag buiten de Europese Unie is. Dat mag niet zomaar. Neem daarvoor contact op met ons kantoor om door te nemen onder welke voorwaarden doorgifte is toegestaan.

  9. VERWERKERSOVEREENKOMST

    U dient met iedere verwerker die u inschakelt een verwerkersovereenkomst te sluiten.

  10. MEER VERANTWOORDELIJKEN?

    Is uw onderneming samen met andere externe partijen verantwoordelijk voor de verwerking van een of meer persoonsgegevens? Regel dan onderling uw verantwoordelijkheden.

  11. MAAK UW PERSONEEL BEWUST VAN DE AVG

    Informeer uw werknemers over de gevolgen van de AVG. Maak een geheimhoudingsbeding in uw arbeidsovereenkomsten.

  12. ZORG VOOR EEN GOED BEDRIJFSPROCES VOOR DE VERWERKING

    Zorg dat de gegevens juist, volledig en actueel blijven en worden gewist zodra u de gegevens niet meer nodig heeft of niet langer hoeft te bewaren. Beschrijf dit in een proces.

  13. ZORG VOOR PASSENDE BEVEILIGING

    Zorg voor passende beveiligingsmaatregelen. Doe dit op het niveau van organisatie, middelen en personen, maar ook op het niveau van externe verwerkers. Pas de uitgangspunten ‘privacy by design’ en ‘privacy by default’ toe. Privacy by default betekent dat uw onderneming maatregelen neemt om te zorgen dat alleen noodzakelijke persoonsgegevens worden verwerkt voor de betreffende doeleinden  Privacy by design betekent dat uw onderneming mogelijkheden zoekt om de privacywetgeving kan worden toegepast in uw organisatie en hoe de rechten van de betrokken personen beschermd kunnen worden.

  14. DATALEKKEN

    Meld datalekken tijdig bij de Autoriteit Persoonsgegevens.

  15. PRIVACYSTATEMENT

    Zorg voor een privacystatement t.b.v. betrokkenen waarvan u persoonsgegevens verwerkt of laat verwerken. Informeer hen over hun rechten en uw gegevensverwerking.

  16. BETROKKENEN

    Betrokkenen hebben o.a. het recht op inzage, rectificatie, wissing, dataoverdracht etc. Zorg ervoor dat u hiervoor een procedure hebt beschreven waarin u iemand verantwoordelijk maakt voor de afhandeling van vragen van betrokkenen.