Check de tien stappen in de regelhulp Algemene Verordening Gegevensbescherming (AVG) van de Autoriteit Persoonsgegevens. Deze Regelhulp is bedoeld voor alle verwerkingsverantwoordelijken. Dus voor elke organisatie – groot of klein – die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt.
Stap 1: gegevensverwerkingen
Als organisatie verwerk je vrijwel altijd persoonsgegevens.
De AVG onderscheidt drie typen persoonsgegevens: gewone, bijzondere en strafrechtelijke gegevens.
De AVG maakt dit onderscheid omdat het ene persoonsgegeven gevoeliger is dan het andere. Hoe gevoeliger de persoonsgegevens, hoe meer impact het heeft op iemands leven als het misgaat.
Privacybescherming is een continu proces en draagt bij aan het vertrouwen van mensen in de organisatie. Veel organisaties ontwikkelen en veranderen. Controleer daarom regelmatig of de organisatie nog aan de AVG voldoet. Gebruik de checklist ‘Houd grip op persoonsgegevens‘.
Stap 2: AVG-grondslagen
Het uitgangspunt is dat je niet meer persoonsgegevens mag verwerken dan strikt noodzakelijk is. Daarom moet je voor alle verwerkingen een goede reden hebben. Zo’n goede reden heb je als je je op een van de zes ‘AVG-grondslagen’ kunt baseren:
- toestemming;
- noodzakelijk voor de uitvoering van een overeenkomst;
- noodzakelijk voor het nakomen van een wettelijke verplichting;
- noodzakelijk ter bescherming van vitale belangen;
- noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
- noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij je je kunt beroepen op een concrete wettelijke uitzondering én op een van de AVG-grondslagen.
Voor mkb’ers zijn alleen deze vier AVG-grondslagen relevant: toestemming, overeenkomst, wettelijke verplichting en gerechtvaardigd belang.
Als je recht hebt om ‘gewone’ persoonsgegevens te verwerken, moet je dat wel zorgvuldig doen.
Zorg ervoor dat je goed kunt onderbouwen dat je de verwerking op deze grondslag(en) mag baseren.
Zorg ervoor dat je de doelgroep goed informeert over wat je met hun persoonsgegevens doet.
Mag je persoonsgegevens verwerken?
Stap 3: functionaris gegevensbescherming (FG)
Onder de AVG kun je verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen: iemand die binnen uw organisatie toezicht houdt op de toepassing en naleving van de AVG.
Ondernemers in het mkb hoeven in de meeste gevallen geen FG aan te stellen. Omdat zij vaak niet op grote schaal persoonsgegevens verwerken.
Wanneer moet ik een FG aanstellen?
Ook al ben je het niet verplicht, het kan heel nuttig zijn om iemand aan te nemen of in te huren die gespecialiseerd is in de bescherming van persoonsgegevens.
Stap 4: data protection impact assessment (DPIA)
Als organisatie kun je verplicht zijn om een data protection impact assessment (DPIA) uit te voeren. Een goed uitgevoerde DPIA geeft je vooraf inzicht in de risico’s die het verwerken van persoonsgegevens oplevert voor de betrokken personen, zodat je kunt bepalen wat er nodig is om die risico’s te verkleinen.
Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de personen van wie je persoonsgegevens verwerkt.
Je moet doorgaans een DPIA uitvoeren als je verwerking aan twee of meer van de onderstaande nege ncriteria voldoet.
- Beoordeel je mensen op basis van persoonskenmerken?
- Neem je geautomatiseerde beslissingen met rechtsgevolgen?
- Doe je aan stelselmatige en grootschalige monitoring?
- Verwerk je gevoelige gegevens of gegevens van zeer persoonlijke aard?
- Verwerk je op grote schaal persoonsgegevens?
- Gebruik je gekoppelde databases?
- Verwerk je gegevens over kwetsbare personen?
- Gebruik je nieuwe technologieën?
- Verwerk je persoonsgegevens om een recht, dienst of contract te blokkeren?
Voor mkb’ers is een DPIA niet zo snel van toepassing.
Ook als je geen of maar een van de criteria hebt aangevinkt, kan het tóch zijn dat sprake is van een hoog privacyrisico. De genoemde criteria zijn slechts een hulpmiddel. Je moet zelf een inschatting maken van de risico’s van de gegevensverwerking voor de betrokken personen.
Meer informatie en veelgestelde vragen over DPIA’s
Stap 5: privacy by design en privacy by default?
Werk je volgens de AVG-uitgangspunten van privacy by design en privacy by default?
- Zijn de producten, diensten en systemen standaard privacyvriendelijk ontworpen?
- Heb je bepaald hoe lang je de persoonsgegevens gaat bewaren en/of heb je de criteria daarvoor bepaald?
- Staan de instellingen van jouw producten of diensten op privacyvriendelijk?
Aan de hand van deze vragen toets je of je aan een aantal belangrijke AVG-uitgangspunten van privacy by design en privacy by default voldoet.
De gedachte hierachter is dat je al bij het ontwerpen van de producten, diensten en/of systemen over privacy nadenkt. Al was het alleen al omdat het doorvoeren van verbeteringen achteraf vaak meer tijd en geld kost. Maar ook omdat steeds meer mensen kritisch zijn op hoe organisaties met hun persoonsgegevens omgaan.
Kijk nog eens kritisch naar de persoonsgegevens die je verwerkt. Zijn die gegevens echt noodzakelijk voor het doel van de verwerking? Onthoud: ‘handig’ is geen grondslag. Dus verwijder de ‘nice to haves’.
Leg voorstellen voor nieuwe systemen, apparaten of verwerkingen in een vroeg stadium voor aan een expert, bijvoorbeeld aan de FG, privacy officer of externe privacyjurist.
Bekijk de eigen producten, diensten en interne systemen vanuit het perspectief van een buitenstaander: is alles daadwerkelijk privacyvriendelijk ingericht?
Controleer steekproefsgewijs de oudst aanwezige gegevens in de eigen bestanden en back-ups. Op die manier kun je checken of de door je ingevoerde bewaartermijnen ook daadwerkelijk worden nageleefd.
Meer over privacy by design en privacy by default
Stap 6: register van verwerkingsactiviteiten
Het verwerkingsregister geeft informatie over de persoonsgegevens die de organisatie verwerkt. Het is bijna altijd verplicht om er een te hebben.
Deze verplichting geldt meestal ook voor kleine ondernemers. Maar het voordeel is wel: hoe minder persoonsgegevens je verwerkt, hoe minder tijd het kost om zo’n register te maken.
Wat moet er in het verwerkingsregister staan?
Stap 7: beveiliging
Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens.
Daarom staat in de AVG dat je persoonsgegevens goed moet beveiligen. Wat een goede beveiliging is, hangt helemaal af van de situatie. Een ‘one size fits all – oplossing’ bestaat helaas niet. Je moet zelf bepalen welke technische en organisatorische maatregelen in uw situatie nodig zijn.
Daarnaast geldt: beveiligen is een continu proces (plan, do, check, act). Je moet continu monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn.
Zorg ervoor dat je de medewerkers duidelijk informeert over de AVG-beveiligingseisen en -plichten. Niet alleen eenmalig bij indiensttreding, maar door hierover regelmatig en zichtbaar te communiceren.
Stap 8: verwerkersovereenkomsten
Als organisatie schakel je vaak andere organisaties in om persoonsgegevens voor je te verwerken, bijvoorbeeld voor het uitbesteden van de boekhouding of door gebruik te maken van een clouddienst die persoonsgegevens opslaat.
Weet dat je óók dan verantwoordelijk blijft voor de persoonsgegevens die in jouw opdracht worden verwerkt. Mensen hebben hun persoonsgegevens immers met jou gedeeld en niet met de ‘verwerkers’.
Daarom moet je in zo’n geval een verwerkersovereenkomst met de verwerker afsluiten. Hiermee sluit je bijvoorbeeld uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.
Bij grote ‘verwerkers’ is een verwerkersovereenkomst vaak al standaard onderdeel van de opdrachtverlening. Je mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen, zodat de privacy van mensen goed worden beschermd.
Welke verantwoordelijkheden heb ik ten opzichte van mijn verwerker?
Stap 9: informatieplicht
Het idee achter de AVG is dat mensen de baas blijven over hun eigen persoonsgegevens. Daarom hebben zij recht op heldere informatie over wat de organisatie met hun persoonsgegevens gaat doen en waarom. Zij kunnen dan zelf beslissen of zij hun gegevens aan de organisatie toevertrouwen.
Je voldoet aan de informatieplicht als je een document hebt opgesteld waarin je betrokken personen informeert over de verwerking van privacygegevens, bijvoorbeeld in de vorm van een privacyverklaring. Het document moet ook voldoen aan de AVG, voldoende informatie geven, op een toegankelijke plek worden aangeboden en in begrijpelijke taal geschreven. De doelgroep weet precies wat er met hun gegevens gebeurt.
Stap 10: privacyrechten
De AVG geeft mensen een aantal privacyrechten. Dit zijn:
- Het recht om persoonsgegevens in te zien.
- Het recht om persoonsgegevens te wijzigen en aan te vullen.
- Het recht om vergeten te worden.
- Het recht om persoonsgegevens over te dragen.
- Het recht op het beperken van een verwerking van persoonsgegevens.
- Het recht op een menselijke blik bij besluiten.
- Het recht om bezwaar te maken.
Je moet de systemen, procedures en interne organisatie op deze rechten inrichten.