AVG-Checklist: voldoet jouw organisatie aan de verplichtingen?

Goede privacybescherming draagt bij aan het vertrouwen van mensen in jouw organisatie. Deze checklist helpt je om te toetsen of jouw organisatie aan een aantal belangrijke AVG-verplichtingen voldoet. Zo weet je of, en zo ja waar, je in actie moet komen.

1. Heb je zicht op alle verwerkingen?

Het type gegevens dat je organisatie verwerkt heeft gevolgen voor de manier waarop je die moet beschermen, en aan welke AVG-regels je organisatie zich moet houden.

Actie: ga na of je niet per ongeluk bijzondere persoonsgegevens verwerkt, want dat is in de meeste gevallen verboden.

2. Heb je nog steeds een grondslag?

Je mag alleen persoonsgegevens verwerken wanneer je daarvoor een grondslag hebt. Ga daarom na of dat voor al je verwerkingen zo is.

Actie: is een verwerking niet langer ‘noodzakelijk voor de uitvoering van een overeenkomst’? Dan mag je organisatie zich niet meer op die grondslag baseren.

3. Zijn (nieuwe) medewerkers privacybewust?

Zijn bestaande en nieuwe medewerkers goed op de hoogte van de privacyregels? Zij spelen namelijk een belangrijke rol in het privacyproof houden van alle processen, diensten en producten.

Actie: overweeg of het nodig is om (bepaalde) AVG-regels extra onder de aandacht te brengen. Stuur ze een link door van About Privacy.

4. Kunnen mensen hun privacyrechten uitoefenen?

Ga na of je organisatie de afgelopen tijd verzoeken heeft ontvangen van mensen die hun privacyrechten willen uitoefenen. bepaal of die snel en volgens de regels zijn afgehandeld.

Actie: ga ook na of je organisatie zich aan de eigen bewaartermijnen houdt. Verwijder gegevens die niet langer nodig zijn.

5. Overzicht met verwerkingen nog up to date?

Meestal ben je onder de AVG verplicht om een verwerkingsregister bij te houden. Ga in dat geval na of alle (nieuwe) verwerkingen in het verwerkingsregister staan.

Actie: het bijhouden van een overzicht van verwerkingen is onderdeel van de
verantwoordingsplicht.

6. Moet je een DPIA uitvoeren?

In sommige gevallen kun je verplicht zijn om een data protection impact assessment (DPIA) uit te voeren voordat je mag starten met de verwerking.

Ga na of je dat in de juiste gevallen ook hebt gedaan, en of het nodig is voor eventuele nieuwe verwerkingen waarmee je wil starten.

Actie: heb je eerder een DPIA uitgevoerd en aan de hand daarvan maatregelen genomen om bepaalde privacyrisico’s te verkleinen? Ga dan na of die maatregelen nog steeds voldoende zijn.

7. Werk je volgens privacy by design en default?

Past jouw organisatie de verplichte uitgangspunten van privacy by design en privacy by default goed toe in de praktijk?

Bijvoorbeeld omdat:
• een app die je aanbiedt niet de locatie van gebruikers registreert als dat niet nodig is;
• op je website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf staat aangevinkt;
• als iemand zich op een nieuwsbrief wil abonneren je niet meer gegevens vraagt dan nodig is.

8.Heeft jouw organisatie een FG of privacycontactpersoon?

Ga na of jouw organisatie verplicht is om een functionaris gegevensbescherming (FG) aan te stellen. Zeker wanneer de omvang en activiteiten van uw organisatie zijn veranderd.

Actie: kom je tot de conclusie dat een FG voor jouw organisatie niet verplicht is? Overweeg dan of het kan helpen om vrijwillig een privacycontactpersoon aan te stellen.

9. Kun je snel schakelen bij datalekken?

Check of je bent voorbereid op een datalek. Hebben zich de afgelopen tijd bijvoorbeeld beveiligingsincidenten in jouw organisatie voorgedaan?

Zo ja, zijn de processen in jouw organisatie zo ingericht dat er snel is gehandeld? Zijn datalekken tijdig bij de AP gemeld? Zijn ze goed gedocumenteerd?

10.Heb je grip op jouw verwerkers?

Heeft je jouw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met deze verwerkers nog steeds toereikend zijn, en in de praktijk worden nageleefd.

Op de website van de AP vind je meer informatie over deze en andere privacyregels en de antwoorden op veelgestelde vragen.

Bron: Autoriteit Persoonsgegevens

Artikel delen

X (Twitter)
LinkedIn