Over enkele dagen zal de Europese Unie (EU) de tot nu toe strengste regelgeving toepassen op de manier waarop de persoonsgegevens van EU-burgers op wettige wijze worden verzameld, verwerkt en opgeslagen. De Algemene Verordening Gegevensbescherming (AVG / GDPR) is een ingrijpende wet op gegevensbescherming die niet alleen Europese bedrijven treft, maar ook alle organisaties die omgaan met de persoonlijke gegevens van EU-burgers.
Checklist AVG
We nemen de belangrijkste punten door die organisaties vóór 25 mei in orde moeten hebben.
1. Privacy verklaring
Organisaties die persoonsgegevens verwerken, moeten volgens de AVG de personen (betrokkenen) laten weten dat zij hun persoonsgegevens verwerken. Meestal gebeurt dit door middel van een zogeheten ‘privacyverklaring’. Dat is een verklaring van de verantwoordelijke (de partij die beslist welke persoonsgegevens worden verwerkt), waarin het doel en de manier van verwerken wordt beschreven aan de betrokkenen.
2. Gegevensbeschermingsovereenkomst (Data Protection Agreement)
Wanneer twee organisaties persoonlijke gegevens uitwisselen als onderdeel van hun zakelijke relatie, moet u in navolging van de AVG bepaalde bepalingen opnemen in een schriftelijke overeenkomst. Zorg ervoor dat u gegevensbeschermingsovereenkomsten hebt met al uw leveranciers. Dit is essentieel voor een juiste AVG naleving.
3. Doel is gedocumenteerd (Purpose)
Persoonlijke gegevens mogen alleen worden opgeslagen als een doel is geformuleerd en er door de eigenaar toestemming is gegeven. Zorg er dus voor dat het doel van het opslaan én het verwerken van de gegevens goed gedefinieerd en gedocumenteerd is. Als persoonlijke gegevens aanwezig zijn die niet langer nodig zijn voor het oorspronkelijke doel, moeten die persoonlijke gegevens worden verwijderd of geanonimiseerd.
4. Toestemming is verkregen en gedocumenteerd (Consent)
U moet kunnen aantonen dat u legaal toestemming hebt verkregen. Daarbij moet u de consumenten laten zien welke gegevens worden verzameld en wat ermee is / zal worden gedaan. Ook dit moet duidelijk geformuleerd en gedocumenteerd zijn.
5. Documentatiesysteem is klaar
Een van de belangrijkste aspecten van de AVG is dat organisaties snel en gemakkelijk kunnen aantonen dat ze stappen hebben ondernomen om aan de voorwaarden te voldoen. Organisaties moeten deze informatie en ondersteunende documentatie rechtstreeks aan toezichthouders kunnen overhandigen wanneer hierom wordt gevraagd.