Verwerkingsregister
U moet een verwerkingsregister hebben dat u steeds up to date moet houden. Hierin geeft u aan welke soort gegevens u in uw bedrijf verzamelt en waarom u die gegevens verzamelt. Die doelen moeten stroken met wat de nieuwe privacyregels hiervoor toestaan. Zo mag u gegevens verzamelen om een overeenkomst of een wettelijke plicht te kunnen uitvoeren, maar ook als u daarbij een gerechtvaardigd belang heeft of in het geval u daarvoor toestemming heeft van de betrokkenen.
U moet zich wel altijd afvragen of het echt nodig is om een gegeven te verzamelen. Voor het verzamelen van bijzondere persoonsgegevens, zoals medische gegevens, gelden andere regels.
Gegevensbeschermingsbeleid
U moet beleid maken en vastleggen over de wijze waarop u persoonsgegevens beschermt, zodat u dit kunt aantonen als de AP daarnaar vraagt. Hierbij legt u vast hoe u organisatorisch en qua ICT omgaat met gegevens, waar nodig op onderdelen aangevuld met specifieke procedures.
Informeren betrokkenen
U zult de personen van wie u gegevens verzamelt, hierover moeten informeren. Dit kunnen uw klanten zijn, uw leveranciers en dienstverleners, maar ook uw werknemers moet u informeren. U kunt hen informeren met een privacyverklaring of via een schriftelijk vastgelegd protocol. U kunt uw personeel ook informeren via een protocol in de arbeidsovereenkomst cq het arbeidsreglement of middels een apart protocol.
Verwerkersovereenkomst
Sommige zaken besteedt u uit. U laat bijvoorbeeld de salarisadministratie van uw personeel door ons verzorgen. Wij krijgen dan toegang tot de persoonsgegevens die u verzamelt. Of andersom, werkzaamheden worden aan u uitbesteed. U bent dan de verwerker. In beide gevallen moeten er afspraken gemaakt worden over wie wat en wanneer doet en wat hij/zij wel en niet mag doen met de persoonsgegevens. Deze afspraken worden vastgelegd in een verwerkingsovereenkomst. De verwerker maakt deze overeenkomst meestal op. Bent u niet de verwerker, dan moet u goed nagaan of de voorgestelde afspraken stroken met de eisen van de nieuwe privacyregels.
Protocol melding datalekken
Tot slot noemen we het protocol voor het melden van een datalek. Uw medewerker verliest bijvoorbeeld een usb-stick, waarop persoonsgegevens van uw klanten staan of u stuurt een mail naar de verkeerde persoon. In het protocol melding datalakken ligt dan de procedure vast die uw medewerkers moeten volgen voor het melden van de datalek. U moet de datalekken ook bijhouden in een register en soms ook melden bij de AP.
De aanpak
Er zijn veel zaken die u moet regelen, maar waar moet u beginnen? Het is verstandig om eerst een nulmeting te doen. U inventariseert dan eerst welke gegevens en van wie u nu verzamelt en waarom u die verzamelt. Dit kunt u doen door eerst uw applicaties en bedrijfsprocessen te doorlopen. Als u dit in kaart heeft, legt u dit naast de eisen die de nieuwe privacyregels stellen aan het verzamelen, bewaren, be- en verwerken, beveiligen en gebruiken van deze gegevens. Zo krijgt u een beeld van waar u aanpassingen moet doorvoeren of nog maatregelen moet treffen.
Meer informatie
Hiervoor hebben we kort aangegeven wat u in elk geval moet doen om tijdig AVG-proof te zijn. Heeft u meer informatie nodig over wat u precies moet doen in een specifieke situatie? Neem dan contact met ons op. We helpen u graag verder.
