checklist, privay by design, gdpr, avg

Checklist hoe jij de privacywet de baas blijft

De nieuwe privacywet komt eraan. Met termen als DPO, privacy by design en privacy by default? Laten we een checklist doorlopen, dat is altijd makkelijk. De nieuwe privacywet vervangt de huidige Wet bescherming persoonsgegevens en stelt strengere eisen aan de manier waarop persoonsgegevens worden verwerkt.

Checklist punt 1: Zorg voor bekendheid

Voor een succesvolle implementatie van de GDPR moet iedereen binnen je bedrijf die met persoonsgegevens werkt zich bewust zijn van wat er wel en niet is toegestaan. Communiceer en werk samen zodat er draagvlak is. Kortom zorg voor gebruikersadoptie. Dat is altijd belangrijk bij wat je ook doet.

Checklist punt 2: Inventariseer en leg vast

Je bedrijf moet kunnen aantonen dat zij zich aan de privacywetgeving houd. In veel gevallen is het verplicht om een ‘verwerkingenregister’ bij te houden. In dit register moet staan wat voor persoonsgegevens je verwerkt. Waarom. EN wat de bron is. Wie is er bij betrokken? En komen de gegevens buiten de EU terecht. Daarnaast moet je aantonen dat je persoonsgegevens verwerkt met een rechtmatige grondslag. Dat kan zijn dat je toestemming hebt of omdat de verwerking nodig is om een overeenkomst uit te voeren.

Checklist punt 3: Heb je een DPO nodig?

Voor sommige bedrijven is een Data Protection Officer (DPO) verplicht. Bijvoorbeeld als je bijzondere persoonsgegevens op grote schaal verwerkt. Of als de verwerking van persoonsgegevens om andere redenen een hoog risico met zich meebrengt. Controleer of deze verplichting voor jouw organisatie geldt. Zo ja: vergeet de DPO niet aan te melden bij de Autoriteit Persoonsgegevens.

Checklist punt 4: Implementeer privacy by design en privacy by default

Onder de GDPR mag je niet meer gegevens verwerken dan nodig is. Dit noemt men ‘dataminimalisatie’. De GDPR introduceert met privacy by design en privacy by default twee nieuwe wettelijke verplichtingen waarbij dataminimalisatie een belangrijke rol speelt. Privacy by design betekent dat je al rekening houdt met gegevensbescherming bij het ontwerp van producten en diensten. Bijvoorbeeld door gegevens zo veel mogelijk te pseudonimiseren en anonimiseren. Privacy by default betekent dat de standaardinstellingen van een dienst of product privacy-vriendelijk moeten zijn. Bijvoorbeeld door een instelling voor het delen van gegevens met derden niet standaard ‘aan’ te zetten.

Checklist punt 5: Sluit verwerkersovereenkomsten af

Je moet een verwerkersovereenkomst sluiten als je dienstverleners, zoals een marketingbureau of een websitebouwer, inschakelt die in jouw opdracht persoonsgegevens verwerken. Dat is onder de huidige wetgeving ook al het geval, maar met de GDPR komen er een aantal verplichte onderdelen bij. Hierin moet onder andere staan dat gegevens voldoende beveiligd worden, dat er toestemming wordt gevraagd voor het inschakelen van een subverwerker en dat de verwerker alleen handelt conform instructies van de verantwoordelijke.

Checklist punt 6: Stel procedures op en neem technische maatregelen

De GDPR heeft onder andere als doel om de mens meer controle te geven over hun gegevens, zoals je in de rechten van de consument kan lezen. Bijvoorbeeld via het recht om vergeten te worden of het recht op dataportabiliteit. Deze laatste wordt met name door energiebedrijven gebruikt. Hierbij verhuizen als het ware jouw gegevens van het ene bedrijf naar het andere. Stel dus procedures op om de rechten uit te kunnen voeren én neem technische maatregelen – zeker als je veel verzoeken verwacht.

Checklist punt 7: Stel een Privacy Impact Assessment (PIA) vast

Met een PIA beoordeel je het effect van een specifieke verwerking van persoonsgegevens op de privacy van de betrokkenen. Hierin moet worden meegenomen welke gegevens om welke reden worden verwerkt en wat de impact hiervan is. Daarnaast moet een beoordeling van noodzaak en de evenredigheid van de verwerking plaatsvinden. Net als de beoordeling van de risico’s voor de persoon en een beoordeling van eventuele waarborgen of maatregelen om de impact op de privacy te beperken.

Onderaan de streep moeten de risico’s afgewogen worden tegen de waarborgen. Als het risico nog steeds hoog blijft, moet je het voorleggen aan de Autoriteit Persoonsgegevens: zij moet dan beoordelen of je met de verwerking mag beginnen. Let op: de verplichting om een PIA uit te voeren geldt ook voor verwerkingen die gestart zijn vóór 25 mei. Als de verwerking doorgaat na die datum zal beoordeeld moeten worden of een PIA verplicht is.

Checklist punt 8: Stel een databeveiligingsbeleid

Denk bij het opstellen van een databeveiligingsbeleid de volgende onderdelen dat je doorlopend toetst en verbeterd:

  • Toegangscontrole, met gebruik van sterke wachtwoorden.
  • Logging van handelingen rondom de persoonsgegevens
  • Fysieke maatregelen voor toegangsbeveiliging
  • Encryptie van bestanden met persoonsgegevens
  • Steekproefsgewijze controle op naleving van het beleid
  • Beheer van kopieën en back-ups
  • Beveiliging van netwerkverbindingen

Checklist punt 9: Stel een protocol meldplicht datalekken op

De meldplicht datalekken blijft ook onder de GDPR bestaan. Je moet een register bijhouden van alle datalekken die plaatsvinden. Afhankelijk van het type gegevens, de hoeveelheid en de context van het lek bepaalt de verantwoordelijke of een lek gemeld moet worden bij de toezichthouder. Vervolgens gaat deze na of het lek ook bij het individu moet worden gemeld. Een protocol, inclusief een crisiscommunicatieplan, helpt hierbij. Liever wil je een datalek natuurlijk helemaal voorkomen – deze praktische tips helpen daarbij.

Delen mag 🙂

Lees ook