Nu écht beginnen met AVG/GDPR

Binnenkort  treedt de Algemene Verordening Gegevensbescherming (AVG) in werking, ook wel de General Data Protection Regulation (GDPR). Vanaf 25 mei aanstaande zijn de nieuwe Europese privacywetten van kracht voor alle lidstaten van de Europese Unie. Is jouw bedrijf al klaar voor de AVG? Wij merken dat de nieuwe wetgeving veel vragen oproept. Organisaties die nog onvoldoende voorbereid zijn, of nog moeten starten met voorbereiden, moeten nu in actie moeten komen om nog op tijd klaar te zijn voor de nieuwe regelgeving. Mocht je er nog niet klaar voor zijn, lees dan snel verder wat je nog minimaal moet doorlopen voor 25 mei 2018.

 

Begin met een verwerkingsregister

De eerste stap om aan de slag te gaan met de AVG/GDPR is het inventariseren van de persoonsgegevens die binnen je organisatie worden verwerkt. Dat biedt overzicht en een goed vertrekpunt voor de te nemen vervolgstappen. De inventarisatie kan gebruikt worden voor het opzetten en inrichten van het zogenaamde “verwerkingsregister”. Dit register maakt inzichtelijk welke persoonsgegevens worden verwerkt en met welk doel, met welke derde partijen de gegevens worden gedeeld en op welke wijze de gegevens worden beveiligd.

 

Het register kent een aantal verplichte onderdelen, namelijk:

  • De naam en contactgegevens van de verwerkingsverantwoordelijk of diens vertegenwoordiger;
  • De naam en contactgegevens van de Functionaris Gegevensbescherming (indien van toepassing);
  • De verwerkingsdoeleinden: voor welke doelen de verwerkingen van persoonsgegevens plaatsvinden.
  • Categorieën van betrokkenen en categorieën van persoonsgegevens: dit beschrijft van welke (groepen van) individuen welke persoonsgegevens worden verwerkt. Voorbeelden van categorieën zijn sollicitanten, klanten, medewerkers, etc.
  • Categorieën van ontvangers: dit beschrijft aan wie de persoonsgegevens worden verstrekt / met welke partijen de persoonsgegevens worden gedeeld.
  • Doorgifte aan een derde land of internationale organisatie: wanneer persoonsgegevens worden doorgegeven aan landen buiten de EER, dan moet vermeld worden om welke landen of internationale organisaties het gaat.
  • De bewaartermijn: er moet vermeld worden hoe lang de persoonsgegevens worden bewaard. Hiervoor kunnen wettelijke bewaartermijnen van kracht zijn, maar bewaar persoonsgegevens in ieder geval nooit langer dan nodig is! Een bewaartermijnen beleid kan hiertoe heldere regels en richtlijnen bieden.
  • Beveiligingsmaatregelen: dit betreft een algemene beschrijving van de getroffen technische en organisatorische.

 

Wanneer je het register volledig hebt opgezet en ingevuld heb je een belangrijke eerste stap genomen tot AVG/GDPR compliance. Ben je benieuwd welke vervolgstappen je nog meer kunt ondernemen? Lees ons uitgebreide artikel: Ben jij klaar voor de AVG? 8 zaken die je moet weten raadplegen.