Ga naar het blogoverzicht  

Voorbereiden op de AVG? Doe de checklist!

11 januari 2018 7 minuten leestijd
De nieuwe privacywetgeving is een veelbesproken onderwerp. 25 mei 2018 is het zover. Dat is de datum waarop de Algemene Verordening Gegevensbescherming (AVG) of in het Engels bekend als de General Data Protection Regulation (GDPR) in werking treedt. En die dag komt steeds sneller dichtbij. Deze wet wordt een stuk strenger op het gebied van dataverzameling en -verwerking. Transparantie is key. Veel organisaties zijn al volop bezig om zich voor te bereiden op de nieuwe Europese privacywet, om torenhoge boetes te vermijden. Wat verandert er voor organisaties die online met klantendata werken? Wat zijn de gevolgen voor de inzet van e-mail, telemarketing en cookies? En hoe bereid je je voor op deze nieuwe wet?

Een belangrijk onderdeel van de AVG is dat steeds meer gegevens bestempeld worden als ‘persoonsgegevens’, waardoor er meer online activiteiten onder de privacywet vallen. Aan wie mag je een e-mail sturen? Wat mag ik wel en niet doen met persoonsgegevens? Hoe verzamel ik gegevens en wat komt er kijken bij het veilig opslaan en bewaren van deze gegevens? De verantwoordelijkheid om de wet na te streven, ligt meer bij organisaties. Het is daarom belangrijk om je zo goed mogelijk voor te bereiden, want als je je niet aan de regels houdt kunnen er boetes gegeven worden tot €20 miljoen of 4% van de jaaromzet. En dat wil je niet hebben!

Hoe wordt je als organisatie volledig compliant aan de AVG?

Om je op weg te helpen, hebben wij een checklist opgesteld.
 

De AVG-checklist:
 

Word bewust van de nieuwe regels

Om precies te weten waar jouw organisatie op moet letten of wat er eventueel in de bedrijfsvoering aangepast moet worden, is het zaak om de nieuwe regels te kennen. Dat geldt vooral voor relevante mensen zoals beleidsmakers, maar ook voor online marketeers is het belangrijk om op de hoogte te zijn! Wat er precies verandert, kun je lezen in dit overzicht.
 


Evalueer de manier waarop je toestemming vraagt, krijgt en registreert

De AVG beschermt burgers tegen ongevraagde reclame-uitingen en spam. Dat heeft als gevolg dat je als organisatie aan strengere regels moet houden als het gaat om e-mailmarketing. Als aanvulling op de AVG komt er een nieuwe Telecommunicatiewet, de ePrivacy Verordening. Het is nog niet duidelijk of deze wet op tijd goedgekeurd wordt en ook op 25 mei 2018 in werking zal treden. De ePrivacy Verordening stelt regels over het gebruik van digitale communicatie, denk aan de inzet van cookies, e-mailmarketing en telemarketing. De AVG richt zich eerder op welke informatie je mag verzamelen en op welke manier. Het draait allemaal om toestemming: hoe je het vraagt, krijgt en registreert.


Toestemming: wees specifiek én zorg voor bewijs
Als je toestemming vraagt om de gegevens van een bezoeker te gebruiken, dan moet je duidelijk zijn om welke gegevens het precies gaat en waar je de gegevens precies voor gaat gebruiken. Het valt onder de verantwoordingsplicht om die toestemming aan de Autoriteit Persoonsgegevens te kunnen laten zien. Zorg daarom dat je duidelijk het proces documenteert hoe je om toestemming vraagt, hoe je deze ontvangt en welke informatie de betrokkenen ontvangen als zij toestemming hebben gegeven.


Wat mag wel en wat niet?
Als iemand toestemming heeft gegeven voor het ontvangen van een bepaalde mailing noemen we dit een opt-in. Je mag dus niet zomaar iemand aan je mailinglijst toevoegen of onder een formulier het vinkje voor het inschrijven voor je nieuwsbrief automatisch aanzetten. Iemand moet zich actief inschrijven voor jouw nieuwsbrief. Pas dán heb je toestemming om diegene mee te nemen in je nieuwsbrief-mailing. En daarbij geldt: alléén voor je nieuwsbrief-mailings en geen andere type mailings. Dan heb je weer een nieuwe opt-in nodig. Heb je bij het downloaden van een whitepaper een mailflow gekoppeld en zet je ook telemarketing in? Dan moet je dit aangeven bij het vragen van de persoonsgegevens. Anderzijds moet je ook zorgen voor een duidelijke afmeldlink, de opt-out. Zorg ervoor dat je diegene dan ook alleen afmeld voor die bepaalde mailing!

 

Bewaak de privacyrechten van betrokkenen

Online gebruikers krijgen meer privacyrechten. Als organisatie moet je je bezoekers wijzen op hun rechten en deze bewaken. Bezoekers hebben bijvoorbeeld het recht om hun verzamelde gegevens in te mogen zien of  aan te passen. Een nieuw privacyrecht is het recht op vergetelheid. Dat betekent dat een betrokkene het recht heeft om in sommige gevallen aan de organisatie te vragen alle persoonsgegevens te verwijderen. Ook het recht op dataportabiliteit is nieuw, waarbij iemand zijn of haar gegevens onder bepaalde omstandigheden mag opvragen bij de organisatie.

 

Breng je gegevensverwerkingen in kaart

Als jouw organisatie meer dan 250 medewerkers heeft ben je verplicht een register van verwerkingsactiviteiten op te stellen. Bedrijven met minder dan 250 medewerkers hebben deze verplichting alleen als ze persoonsgegevens verwerken die een risico vormen voor de rechten en vrijheden van de betrokkenen, als ze niet incidenteel zijn of bijzondere persoonsgegevens zoals gezondheid, ras, maar ook je BSN.

Alle persoonsgegevens die je als organisatie verzamelt en verwerkt dien je dan te documenteren.

Wat moet je precies documenteren?
  • waar de gegevens vandaan komen
  • voor welk doel je de gegevens gebruikt
  • met wie je de gegevens deelt
 

Voer een DPIA uit

Ook dit punt geldt niet voor elke organisatie. Heb je een organisatie waarbij je gegevens verwerkt met een hoog privacyrisico, dan moet je een DPIA uitvoeren. Denk hierbij aan profiling of cameratoezicht op publieke gebieden. Een DPIA is een instrument om deze privacyrisico’s in kaart te brengen en waar nodig kun je maatregelen nemen om deze risico’s te verkleinen.

Even checken of jij een DPIA moet uitvoeren? Bekijk deze criteria!
 

Leef de privacy by default na

Je mag alleen persoonsgegevens verwerken die je nodig hebt om jouw specifieke doel te bereiken. De standaardinstellingen moeten dus zo privacy-vriendelijk mogelijk zijn. Om dit standaard in je bedrijfsvoering in te richten kun je organisatorische en technische maatregelen nemen. Dit wordt ‘privacy by default’ genoemd.

Waar kun je zoal aan denken?
  • Het vakje ‘ik wil de nieuwsbrief ontvangen’ niet automatisch aanvinken
  • Niet meer gegevens vragen dan nodig
  • Laat een app bij het installeren niet zomaar alle adresgegevens zoals locatie kopiëren als je deze niet nodig hebt
 

Stel een functionaris voor de gegevensbescherming aan

Bepaalde organisaties zijn verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Dat is iemand die alles weet over privacywetgeving en de praktijk van gegevensbescherming. Diegene houdt binnen de organisatie toezicht op het naleven van de AVG.

Welke organisaties moeten een FG aanstellen?
  • Overheidsinstanties
  • Publieke organisaties
  • Organisaties die als kernactiviteit het verwerken van bijzondere persoonsgegevens (gezondheid, ras, politieke voorkeur) op grote schaal hebben. Wat als ‘grootschalig’ wordt gezien is niet gedefinieerd in de AVG. Wel worden er voorbeelden genoemd als ziekenhuizen en banken die bijzondere gegevens van patiënten en klanten verwerken. Een individuele arts wordt daarentegen niet gezien als ‘grootschalig’.
 

Documenteer datalekken

Datalekken (ook uit het verleden) moeten gemeld worden bij het meldloket datalekken. We spreken van een datalek als er persoonsgegevens in handen komen van derden die geen toegang zouden mogen hebben tot deze gegevens. Dat kan bijvoorbeeld gebeuren als er een beveiligingsprobleem is ontstaan, zoals uitgelekte computerbestanden of een e-mail met persoonsgegevens die naar een verkeerd e-mailadres is verzonden, maar ook diefstal van een laptop valt daaronder. Niet élk datalek hoeft gemeld te worden. Het datalek hoeft alleen gemeld te worden als de persoonsgegevens aanzienlijke nadelige gevolgen kan hebben voor de bescherming van persoonsgegevens, bijvoorbeeld als het gaat om gezondheid, strafrechtelijke gegevens, betalingsgegevens, gebruikersnamen en wachtwoorden.

 

Controleer de bewerkersovereenkomst

Sommige organisaties besteden de gegevensverwerking uit aan derden, bijvoorbeeld een persoon of een andere organisatie. Dit wordt een ‘bewerker’ genoemd en in de nieuwe AVG wordt dit een ‘verwerker’ genoemd (huh? ja, verwarrend). Heb je een overeenkomst lopen met een bewerker, controleer dan of het aan alle eisen van de AVG voldoet. Dat kan bijvoorbeeld het salaris-administratiebureau zijn dat de persoonsgegevens van je medewerkers verwerkt.

 

Wijs één leidende toezichthouder aan

Heb je een internationale organisatie? Of verwerkt jouw organisatie gegevens in verschillende lidstaten van de EU? Dan hoef je niet meer in elke lidstaat een aparte privacytoezichthouder te hebben, maar wijs je er één aan. Dit is de leidende toezichthouder en dat is automatisch de toezichthouder op de hoofdvestiging van de organisatie.

Wil je meer weten over de AVG? Bekijk hier de herhaling van ons webinar met AVG-expert Patrick Jordens! 
 
Ga naar het blogoverzicht  

  • Deel deze post

  • Evy Knol

    Evy Knol

    Evy studeerde Mediastudies aan de Universiteit van Amsterdam. Als data-driven marketeer bij Gopublic kan Evy haar creativiteit combineren met haar analytische skills. Ze richt zich voornamelijk op strategische (content) vraagstukken, het optimaliseren van customer journey's en leadgeneratie via marketing automation. 

Maandelijkse inspiratie rechtstreeks in je inbox!

We houden je graag op de hoogte met interessante artikelen boordevol tips en tricks om online te excelleren!
x
Om u beter van dienst te zijn, maakt gopublic.nl gebruik van cookies.
Lees hier ons Privacy Statement.