In 3 stappen een privacy proof gegevensbeheer binnen je bedrijf
Thijs Peeters |De storm rond de AVG mag dan wel zijn gaan liggen, maar voldoet het gegevensbeheer binnen je bedrijf eigenlijk wel aan deze nieuwe privacywetgeving? Nu we een aantal maanden verder zijn, is dit een goed moment om te bekijken of het gegevensbeheer van jouw onderneming wel écht privacy proof is.
De AVG en de drie belanghebbenden
De AVG onderscheidt drie partijen: de verwerkingsverantwoordelijke, verwerker en de betrokkene.
De verwerkingsverantwoordelijke is de persoon die deze gegevens nodig heeft voor een bedrijfsproces. Dit is bijvoorbeeld de werkgever of de eigenaar van een webshop.
De verwerker is de externe partij die namens de verwerkingsverantwoordelijke partij gegevens verwerkt. Dit is bijvoorbeeld een webhostingsbedrijf. Er hoeft dus niet altijd een verwerker te zijn. Dit komt alleen voor als je de verwerking uitbesteedt..
De betrokkene is de persoon van wie de gegevens worden verwerkt. Dit is bijvoorbeeld een klant of een medewerker van je bedrijf.
Om het gegevensbeheer binnen je bedrijf privacy proof te maken, is het dan ook belangrijk om je te richten op deze drie partijen.
Privacy proof stap 1: optimaliseer het gegevensbeheer als verwerkingsverantwoordelijke
Als verwerkingsverantwoordelijke heb je een verantwoordingsplicht. Dit houdt in, dat je moet kunnen aantonen dat je organisatie in overeenstemming met de AVG handelt. Hierdoor ben je verplicht om een register van verwerkingsactiviteiten bij te houden.
In het verwerkersregister leg je vast welke persoonsgegevens er worden verwerkt, waarom je dit doet, waar deze gegevens vandaan komen en met wie ze worden gedeeld.
Zorg dat de medewerkers van je bedrijf ook op de hoogte zijn van de nieuwe privacyregels. Daarnaast is het goed om te weten, dat je verplicht bent om adequate maatregelen te treffen om de persoonsgegevens te beschermen.
Privacy proof stap 2: optimaliseer het gegevensbeheer voor de verwerker
Wanneer je de verwerking van persoonsgegevens uitbesteed aan een externe partij, heb je te maken met een verwerker. Het is belangrijk om een verwerkersovereenkomst met deze derde partij af te sluiten.
In de verwerkersovereenkomst leg je samen met de andere partij een aantal afspraken vast. Dit zijn de onderwerpen die aan bod moeten komen:
- Algemene omschrijving
- Instructies verwerking
- Geheimhoudingsplicht
- Beveiliging
- Subverwerkers
- Hoe te handelen bij een datalek
- Privacyrechten
- Andere verplichtingen
- Gegevens verwijderen
- Audits
Privacy proof stap 3: optimaliseer het gegevensbeheer voor de betrokkene
De personen van wie de persoonsgegevens worden bewaard, krijgen door de AVG meer en verbeterde privacyrechten. Dit betekent, dat je ervoor moet zorgen dat zij (op eenvoudige wijze) gebruik kunnen maken van deze rechten. De betrokkene heeft afhankelijk van de grondslag recht op:
- Inzage van de eigen persoonsgegevens
- Rectificatie en aanvulling van de persoonsgegevens
- Beperking van de verwerking
- Dataportabiliteit (de persoonsgegevens mogen overgedragen worden)
- Vergetelheid
- Een menselijke blik bij besluitvorming en profilering
- Bezwaar maken tegen de gegevensverwerking
Hoe deze rechten worden gewaarborgd, moet je vermelden in een privacyverklaring.
Een privacy audit geeft duidelijkheid
Het is belangrijk om te voldoen aan de eisen van de AVG. Doe je dit niet, dan kan de Autoriteit Persoonsgegevens je bedrijf een boete opleggen van maximaal 20 miljoen euro of 4% van je wereldwijde omzet. Maar erger is nog, dat dit je een behoorlijke imagoschade kan opleveren. Zorg dus dat je bijtijds een privacy audit uit laat voeren om te meten of je bedrijf helemaal privacy proof is.
Is jouw onderneming privacy proof? Doe de gratis AVG Risico Scan
Wil je weten of jouw bedrijf voldoet aan de eisen van de AVG? Bol Adviseurs adviseert en begeleidt je hierin. Voer nu alvast geheel vrijblijvend onze AVG Risico Scan uit om te zien of de AVG op de juiste wijze in jouw organisatie is geïmplementeerd.