De ultieme checklist voor de GDPR

#1 Maak belangrijke personen binnen jouw organisatie bekend met de AVG

Voor een succesvolle implementatie van de AVG moet iedereen die binnen de organisatie met persoonsgegevens werkt zich bewust zijn van wat er wel en niet is toegestaan. Breng beslissers en uitvoerders op het gebied van data, beveiliging en juridische zaken daarom bij elkaar en zorg voor een plan van aanpak.

#2 Breng in kaart hoe persoonsgegevens worden verwerkt en beoordeel of je een verwerkingsregister moet aanleggen

Onder de AVG moeten organisaties kunnen aantonen dat zij zich aan de privacywetgeving houden. In veel gevallen is het verplicht om een ‘verwerkingenregister’ bij te houden. In dit register moet staan wat voor persoonsgegevens je verwerkt, waarom, wat de bron is, welke partijen betrokken zijn, of de gegevens buiten de EU terechtkomen en wat de bewaartermijn is. Daarnaast moet je aantonen dat je persoonsgegevens verwerkt met een rechtmatige grondslag, bijvoorbeeld toestemming of omdat de verwerking nodig is om een (verkoop)overeenkomst uit te voeren.

#3 Check of jouw organisatie verplicht is om een functionaris gegevensbescherming aan te stellen

Voor sommige organisaties is een data protection officer of functionaris gegevensbescherming (FG) verplicht. Bijvoorbeeld als je bijzondere persoonsgegevens op grote schaal verwerkt, als de verwerking van persoonsgegevens om andere redenen een hoog risico met zich meebrengt, bijvoorbeeld omdat je op grote schaal persoonsgegevens verwerkt. Controleer of deze verplichting voor jouw organisatie geldt. Zo ja: vergeet de FG niet aan te melden bij de Autoriteit Persoonsgegevens. Zie ook dit interview met Reinier Treep, data protection officer bij DDMA-lid Nuon/Vattenfall, om een beter beeld te krijgen van de dagelijkse werkzaamheden van een FG.

#4 Implementeer privacy by design en privacy by default

Ook onder de AVG mag je niet meer gegevens verwerken dan nodig is. Dit noemt men ‘dataminimalisatie’. De AVG introduceert met privacy by design en privacy by default twee nieuwe wettelijke verplichtingen waarbij dataminimalisatie een belangrijke rol speelt. Privacy by design betekent dat je al rekening houdt met gegevensbescherming bij het ontwerp van producten en diensten. Bijvoorbeeld door gegevens zo veel mogelijk te pseudonimiseren en anonimiseren. Privacy by default betekent dat de standaardinstellingen van een dienst of product privacy-vriendelijk moeten zijn. Bijvoorbeeld door een instelling voor het delen van gegevens met derden niet standaard ‘aan’ te zetten.

#5 Sluit verwerkersovereenkomsten af

Je moet een verwerkersovereenkomst sluiten als je dienstverleners, zoals een marketingbureau of een websitebouwer, inschakelt die in jouw opdracht persoonsgegevens verwerken. Dat is onder de huidige wetgeving ook al het geval, maar met de AVG komen er een aantal verplichte onderdelen bij. Hierin moet onder andere staan dat gegevens voldoende beveiligd worden, dat er toestemming wordt gevraagd voor het inschakelen van een subverwerker en dat de verwerker alleen handelt conform instructies van de verantwoordelijke.

Dit artikel is onderdeel van een reeks over de gevolgen en kansen van GDPR/AVG. Hier vind je alle artikelen in de reeks.

#6 Stel procedures op en neem technische maatregelen om de rechten van betrokkenen van uit te kunnen voeren

De AVG heeft onder andere als doel om individuen meer controle uit te laten oefenen over hun gegevens, zoals je in deel 3 van deze serie al kon lezen. Bijvoorbeeld via het recht op om vergeten te worden of het recht op dataportabiliteit, waarbij mensen hun gegevens kunnen laten overdragen van de ene organisatie naar de andere. Stel dus procedures op om de rechten van betrokkenen uit te kunnen voeren én neem technische maatregelen – zeker als je veel verzoeken verwacht.

#7 Stel een Privacy Impact Assessment (PIA) vast en breng in kaart wanneer je deze moet uitvoeren

Met een PIA beoordeel je het effect van een specifieke verwerking van persoonsgegevens op de privacy van de betrokkenen. Hierin moet worden meegenomen welke gegevens om welke reden worden verwerkt en wat de impact hiervan is. Daarnaast moet een beoordeling van noodzaak en de evenredigheid van de verwerking plaatsvinden, evenals een beoordeling van de risico’s voor de individuen en een beoordeling van eventuele waarborgen of maatregelen om de impact op de privacy te beperken.

Onderaan de streep moeten de risico’s afgewogen worden tegen de waarborgen. Als het risico nog steeds hoog blijft, moet je het voorleggen aan de Autoriteit Persoonsgegevens: zij moeten dan beoordelen of je met de verwerking mag beginnen. Let op: de verplichting om een PIA uit te voeren geldt ook voor verwerkingen die gestart zijn vóór 25 mei. Als de verwerking doorgaat na die datum zal beoordeeld moeten worden of een PIA verplicht is.

#8 Breng in kaart waar binnen jouw organisatie toestemming wordt gevraagd voor de verwerking van persoonsgegevens en controleer of dit voldoet aan de eisen van de AVG

Voor verwerking van persoonsgegevens is soms toestemming nodig. Onder de AVG moet je bewijzen dat, wanneer, hoe en waarvoor toestemming is verkregen. Intrekken van toestemming moet net zo eenvoudig zijn als het geven van toestemming en mag geen nadelige gevolgen hebben. Daarnaast mag toestemming niet een voorwaarde zijn voor uitvoering van de overeenkomst – de toestemming is in dat geval niet ‘vrij’ gegeven. In het zesde deel van deze serie gingen we al dieper in op het begrip toestemming.

#9 Stel een databeveiligingsbeleid op en blijf dit beleid toetsen en verbeteren

Denk bij het opstellen van een databeveiligingsbeleid de volgende onderdelen:

• Toegangscontrole, met gebruik van sterke wachtwoorden.
• Logging van handelingen rondom de persoonsgegevens
• Fysieke maatregelen voor toegangsbeveiliging
• Encryptie van bestanden met persoonsgegevens
• Steekproefsgewijze controle op naleving van het beleid
• Beheer van kopieën en back-ups
• Beveiliging van netwerkverbindingen

#10 Stel een protocol meldplicht datalekken op

De meldplicht datalekken blijft onder de AVG bestaan. Je moet een register bijhouden van alle datalekken die plaatsvinden. Afhankelijk van het type gegevens, de hoeveelheid en de context van het lek bepaalt de verantwoordelijke of een lek gemeld moet worden bij de toezichthouder. Vervolgens gaat deze na of het lek ook bij het individu moet worden gemeld. Een protocol, inclusief een crisiscommunicatieplan, helpt hierbij. Liever wil je een datalek natuurlijk helemaal voorkomen – deze 7 praktische tips helpen daarbij.

Wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de DDMA AVG Status Check. Naast advies over vijf AVG-thema’s, is deze check ook een benchmark. Je kunt per thema zien hoe andere bedrijven scoren. We willen je ook wijzen op de AVG-bijeenkomst die DDMA op 23 januari organiseert. Udo Oelen, hoofd toezicht private sector van de Autoriteit Persoonsgegevens, is een van de sprekers.

Lees hier:

• deel 1  Marketeers nog lang niet klaar voor GDPR
• deel 2 De 17 meest gestelde vragen over de GDPR
• deel 3  AVG voor consumenten
• deel 4 GDPR: de 4 grootste mythes over dataverwerking in B2B-marketing
• deel 5 Wat er voor marketingbureaus en andere dienstverleners verandert
• Deel 6 (Alles wat je als marketeer moet weten over toestemming onder de AVG
• Deel 7  Het dagelijkse werk van een data protection officer
• Deel 8 GDPR: 7 tips om een datalek te voorkomen
• Deel 9 Profilering onder de GDPR: wat mag wel en wat niet?

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA