De ultieme checklist voor de GDPR

11 januari 2018, 07:00

Nu 2018 begonnen is, komt de deadline echt dichtbij. Vanaf 25 mei moeten alle organisaties zich houden aan de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG / GDPR). Deze wet vervangt de huidige Wet bescherming persoonsgegevens en stelt strengere eisen aan de manier waarop persoonsgegevens worden verwerkt. Voor deel 10 van deze blogserie hebben wij als legal counsels van brancheorganisatie DDMA een ultieme AVG-checklist opgesteld met de 10 belangrijkste punten.

Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.

#1 Maak belangrijke personen binnen jouw organisatie bekend met de AVG

Voor een succesvolle implementatie van de AVG moet iedereen die binnen de organisatie met persoonsgegevens werkt zich bewust zijn van wat er wel en niet is toegestaan. Breng beslissers en uitvoerders op het gebied van data, beveiliging en juridische zaken daarom bij elkaar en zorg voor een plan van aanpak.

#2 Breng in kaart hoe persoonsgegevens worden verwerkt en beoordeel of je een verwerkingenregister moet aanleggen

Onder de AVG moeten organisaties kunnen aantonen dat zij zich aan de privacywetgeving houden. In veel gevallen is het verplicht om een ‘verwerkingenregister’ bij te houden. In dit register moet staan wat voor persoonsgegevens je verwerkt, waarom, wat de bron is, welke partijen betrokken zijn, of de gegevens buiten de EU terechtkomen en wat de bewaartermijn is. Daarnaast moet je aantonen dat je persoonsgegevens verwerkt met een rechtmatige grondslag, bijvoorbeeld toestemming of omdat de verwerking nodig is om een (verkoop)overeenkomst uit te voeren.

#3 Check of jouw organisatie verplicht is om een functionaris gegevensbescherming aan te stellen

Voor sommige organisaties is een data protection officer of functionaris gegevensbescherming (FG) verplicht. Bijvoorbeeld als je bijzondere persoonsgegevens op grote schaal verwerkt, als de verwerking van persoonsgegevens om andere redenen een hoog risico met zich meebrengt, bijvoorbeeld omdat je op grote schaal persoonsgegevens verwerkt. Controleer of deze verplichting voor jouw organisatie geldt. Zo ja: vergeet de FG niet aan te melden bij de Autoriteit Persoonsgegevens. Zie ook dit interview met Reinier Treep, data protection officer bij DDMA-lid Nuon/Vattenfall, om een beter beeld te krijgen van de dagelijkse werkzaamheden van een FG.

#4 Implementeer privacy by design en privacy by default

Ook onder de AVG mag je niet meer gegevens verwerken dan nodig is. Dit noemt men ‘dataminimalisatie’. De AVG introduceert met privacy by design en privacy by default twee nieuwe wettelijke verplichtingen waarbij dataminimalisatie een belangrijke rol speelt. Privacy by design betekent dat je al rekening houdt met gegevensbescherming bij het ontwerp van producten en diensten. Bijvoorbeeld door gegevens zo veel mogelijk te pseudonimiseren en anonimiseren. Privacy by default betekent dat de standaardinstellingen van een dienst of product privacy-vriendelijk moeten zijn. Bijvoorbeeld door een instelling voor het delen van gegevens met derden niet standaard ‘aan’ te zetten.

#5 Sluit verwerkersovereenkomsten af

Je moet een verwerkersovereenkomst sluiten als je dienstverleners, zoals een marketingbureau of een websitebouwer, inschakelt die in jouw opdracht persoonsgegevens verwerken. Dat is onder de huidige wetgeving ook al het geval, maar met de AVG komen er een aantal verplichte onderdelen bij. Hierin moet onder andere staan dat gegevens voldoende beveiligd worden, dat er toestemming wordt gevraagd voor het inschakelen van een subverwerker en dat de verwerker alleen handelt conform instructies van de verantwoordelijke.

Dit artikel is onderdeel van een reeks over de gevolgen en kansen van GDPR/AVG. Hier vind je alle artikelen in de reeks.

#6 Stel procedures op en neem technische maatregelen om de rechten van betrokkenen uit te kunnen voeren

De AVG heeft onder andere als doel om individuen meer controle uit te laten oefenen over hun gegevens, zoals je in deel 3 van deze serie al kon lezen. Bijvoorbeeld via het recht op om vergeten te worden of het recht op dataportabiliteit, waarbij mensen hun gegevens kunnen laten overdragen van de ene organisatie naar de andere. Stel dus procedures op om de rechten van betrokkenen uit te kunnen voeren én neem technische maatregelen – zeker als je veel verzoeken verwacht.

#7 Stel een Privacy Impact Assessment (PIA) vast en breng in kaart wanneer je deze moet uitvoeren

Met een PIA beoordeel je het effect van een specifieke verwerking van persoonsgegevens op de privacy van de betrokkenen. Hierin moet worden meegenomen welke gegevens om welke reden worden verwerkt en wat de impact hiervan is. Daarnaast moet een beoordeling van noodzaak en de evenredigheid van de verwerking plaatsvinden, evenals een beoordeling van de risico’s voor de individuen en een beoordeling van eventuele waarborgen of maatregelen om de impact op de privacy te beperken.

Onderaan de streep moeten de risico’s afgewogen worden tegen de waarborgen. Als het risico nog steeds hoog blijft, moet je het voorleggen aan de Autoriteit Persoonsgegevens: zij moeten dan beoordelen of je met de verwerking mag beginnen. Let op: de verplichting om een PIA uit te voeren geldt ook voor verwerkingen die gestart zijn vóór 25 mei. Als de verwerking doorgaat na die datum zal beoordeeld moeten worden of een PIA verplicht is.

#8 Breng in kaart waar binnen jouw organisatie toestemming wordt gevraagd voor de verwerking van persoonsgegevens en controleer of dit voldoet aan de eisen van de AVG

Voor verwerking van persoonsgegevens is soms toestemming nodig. Onder de AVG moet je bewijzen dat, wanneer, hoe en waarvoor toestemming is verkregen. Intrekken van toestemming moet net zo eenvoudig zijn als het geven van toestemming en mag geen nadelige gevolgen hebben. Daarnaast mag toestemming niet een voorwaarde zijn voor uitvoering van de overeenkomst – de toestemming is in dat geval niet ‘vrij’ gegeven. In het zesde deel van deze serie gingen we al dieper in op het begrip toestemming.

#9 Stel een databeveiligingsbeleid op en blijf dit beleid toetsen en verbeteren

Denk bij het opstellen van een databeveiligingsbeleid de volgende onderdelen:

• Toegangscontrole, met gebruik van sterke wachtwoorden.

• Logging van handelingen rondom de persoonsgegevens

• Fysieke maatregelen voor toegangsbeveiliging

• Encryptie van bestanden met persoonsgegevens

• Steekproefsgewijze controle op naleving van het beleid

• Beheer van kopieën en back-ups

• Beveiliging van netwerkverbindingen

#10 Stel een protocol meldplicht datalekken op

De meldplicht datalekken blijft onder de AVG bestaan. Je moet een register bijhouden van alle datalekken die plaatsvinden. Afhankelijk van het type gegevens, de hoeveelheid en de context van het lek bepaalt de verantwoordelijke of een lek gemeld moet worden bij de toezichthouder. Vervolgens gaat deze na of het lek ook bij het individu moet worden gemeld. Een protocol, inclusief een crisiscommunicatieplan, helpt hierbij. Liever wil je een datalek natuurlijk helemaal voorkomen – deze 7 praktische tips helpen daarbij.

Is jouw organisatie klaar voor de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check.

Matthias De Bruyne
Legal Counsel bij DDMA

Matthias De Bruyne is legal counsel bij DDMA, branchevereniging voor data en marketing. In deze functie helpt hij DDMA-leden te voldoen aan de geldende (Europese) privacywetgeving. Hij biedt juridische ondersteuning bij vraagstukken die spelen binnen marketingcampagnes en geeft advies en voorlichting over de juridische ontwikkelingen op het gebied van (onder meer) privacy, data security, telecom, reclame, kansspelen en consumentenrecht. Hierbij ligt de focus op de praktische vertaalslag van wetgeving, regels en richtlijnen naar de marketingpraktijk.

Categorie
Tags

12 Reacties

    JPElverding

    Dank voor de heldere uitleg hierboven!

    Maar waar helderheid is blijven vragen bestaan, misschien wel hele simpele die in AVG101 gestaan hebben..

    Het klinkt als een open deur maar: Wat zijn persoonsgegevens? Of liever, waar ligt de grens voor AVG?

    Sc1: Stel ik heb een database met daarin naam, adres en mail info alsmede info van het bedrijf dat hij of zij vertegenwoordigt. Dat is info die ze ook op hun website hebben staan. Overigens kan die informatie via de link in bijna elke bulk-mail worden aangepast en uiteraard kan het geheel uit de (Amerikaanse) database worden verwijderd (De basis was een ledenadministratie die later is uitgebreid met handmatige website search, info uit folders en visitekaartjes enz.)

    Sc2: Ze worden lid of sponsor van onze vereniging (Soort VVV) en krijgen dan een (digitale) factuur. Dat is een genummerde factuur, geen mail met “u mag deze rekening betalen maar het is geen plicht.

    Dat ze lid zijn gaat vervolgens vermeld worden op onze website

    (Niet de mate waarin/bedrag)Datzelfde kan voor een donateur/sponsor die aan kan geven of het zichtbaar moet zijn of niet.

    Ons (externe) administratiekantoor heeft dan inzicht in het IBAN, lidmaatschapsnummer en NAW gegevens die ze van ons krijgen.

    Via het boekhoudpakket/telebankieren kunnen wij van van de leden ook het IBAN traceren.

    In mijn optiek zijn dat algemeen toegankelijke data die ook grotendeels op de bedrijfssite geplaatst zijn en lijkt mij de privacy gewaarborgd. Het enige zou kunnen zijn dat een factuur niet betaald is en we een reminder sturen, omdat je dan betaalgegevens koppelt aan een factuur.

    Wat zou betekenen dat elke transactie wel onder het AVG komt te vallen.

    Waar schrijpt mijn visie met de realiteit?

    Bij voorbaat dank!

    JohnPeter Elverding

    Marketing Midden-Groningen (v/h VVV Slochteren)


    11 januari 2018 om 10:50
    Kor de Boer

    Eigenlijk is het voor veel bedrijven zonder de juiste tools en begeleiding niet te doen.

    Advocaten zijn te duur, Niets doen is geen optie en alles zelf doen risicovol. Een checklist gaat niet werken.


    29 januari 2018 om 15:28
    Guido

    Ik moet toegeven dat dit voor een kleine onderneming een ingewikkeld stukje materie is (als je het goed wilt doen). Deze checklist verduidelijkt een hoop. Als ondernemer is dit een last, als consument ben ik er blij mee.


    21 februari 2018 om 10:32
    Matthias de Bruyne

    Dank voor je reactie, Huib. Excuus voor mijn late reactie!

    Een telefoonnummer is een persoonsgegeven zodra het direct of indirect te herleiden is tot een individu. Dat is vrijwel altijd het geval bij 06-nummer, omdat die door slechts één persoon beantwoord worden. Het is daarvoor niet van belang dat je de naam weet van de houder van het nummer. Zoals de AP aangeeft is dat niet het geval bij het telefoonnummer van een rechtspersoon of bestuursorgaan. Het telefoonnummer van de klantenservice van een multinational is dus geen persoonsgegeven. Dat is alweer anders bij het vaste telefoonnummer van een kleine onderneming. Daar is het eenvoudig om er achter te komen welke persoon er achter een bepaald nummer zit.

    Omdat het slechts bij uitzondering géén persoonsgegeven is kun je er voor de zekerheid maar beter van uitgaan dat alle telefoonnummers persoonsgegevens zijn. Beter voor de zekerheid rekening houden met de AVG, dan er achteraf achter komen dat je in overtreding bent.

    Voor de liefhebbers: een citaat van de Artikel 29 Werkgroep over de definitie van persoonsgegevens (zie bijlage):

    “Directly” or “indirectly” identifiable

    Further clarification is contained in the commentary to the Articles of the amended Commission proposal, in the sense that “a person may be identified directly by name or indirectly by a telephone number, a car registration number, a social security number, a passport number or by a combination of significant criteria which allows him to be recognized by narrowing down the group to which he belongs (age, occupation, place of residence, etc.)”.


    21 maart 2018 om 14:44
    Rick

    Mooi artikel,

    Hoe werkt het met dropshipping? Wij werken met een paar leveranciers welke de producten leveren bij de eindconsument. Wij geven hiervoor een factuur met de volgende gegevens. Naam, adres en telefoonnummer van de klant. Is dit met de nieuwe wetgeving toegestaan? Wat dienen wij nog te doen? Contact tekenen met deze leverancier betreft bescherming van deze klantgegevens?

    Hoor graag van u,

    Met vriendelijke groet,

    Rick


    26 maart 2018 om 09:47
    Harrij Beeren

    Ik vroeg mij af hoe het zit met de vele websites die ik tegenkom van particuliere personen die als Kunstschilder of Brons Artist dan wel Beeldend Kunstenaar actief zijn via hun eigen website of via een verzamelsite en allemaal hun persoonlijke data online hebben staan, wat betekend dit voor de verzamel site en wat voor de individuele particulier die evengoed later of nu al een eenpersoons bedrijf kan hebben?

    Trouwens goede informatieve site.


    18 april 2018 om 14:05
    Jack

    Help! Ik heb een klein webdesign en internetbureau. Nu hebben we een groep ‘oudere’ klanten die geen onderhoud wil laten plegen aan website,etc.

    Als deze sites niet voldoen aan de GDPR norm eind mei, wie is hier dan verantwoordelijk? Uiteraard berichten wij de klanten, maar ik vraag me echt af of wij met dikke boetes aansprakelijk kunnen worden gesteld voor het niet naleven van regelgevingen door klanten.

    Iemand die een antwoord weet? Ik dank een ieder die hier duidelijkheid over kan scheppen!


    30 april 2018 om 06:46
    An

    Hoe zit het inderdaad met dropshipment? Je vult natuurlijk klantgegevens handmatig bijvoorbeeld in of stuurt het per mail.


    3 mei 2018 om 19:28
    Lennaert

    Ik heb een tattooshop en de enige gegevens van mensen die wij verzamelen zijn NAP gegevens en paspoortnummer ter legitimatie voor het toestemmingsformulier wat wettelijk ingevuld moet worden, maar niet digitaal wordt opgeslagen.

    en tevens noteren wij een naam en telefoonnummer in de agenda voor de afspraken. in hoeverre gelden al deze digitale regels dan voor ons?


    19 mei 2018 om 14:05

Marketingfacts. Elke dag vers. Mis niks!