In een post gepubliceerd op LinkedIn gaf ik aan dat het tijd is voor alle organisaties om aan de slag te gaan met de Algemene Verordening Gegevensbescherming (AVG). De vraag die dan eigenlijk direct wordt gesteld is: “Hoe en waar te beginnen?”. Mijn advies is om te starten met de onderstaande 3 stappen.
1. Aanstellen Data Protection Officer (DPO)
Maak om te beginnen de afweging of je als organisatie een DPO moet of wil aanstellen. Ik schreef hier eerder een blog over. Wanneer je als organisatie een DPO aanstelt is het raadzaam deze te betrekken bij onderstaande activiteiten.
2. Documenteer verwerkingsactiviteiten
Onder de AVG bestaat de verplichting om alle verwerkingsactiviteiten van een organisatie te documenteren. Start daarom met het opstellen van een overzicht waarin je alle privacyverwerkingen binnen de organisatie in kaart brengt. Hierin dien je op te nemen:
- welke verschillende categorieën van gegevens worden verwerkt
- voor welk doel deze gegevens worden verwerkt
- hoe zijn de gegevens beveiligd
- wie heeft toegang tot deze gegevens
- waar en hoe lang worden gegevens bewaard
- etc
Vanuit praktisch oogpunt kun je als organisatie starten met de verwerkingen die het meest kritisch zijn binnen de organisatie of de verwerking met een hoog risico.
3. Privacybeleid
Organisaties dienen op basis van de AVG (artikel 5, lid 2 AVG) te kunnen aantonen dat ze handelen in overeenstemming met de privacy-wetgeving en dienen bovendien te kunnen waarborgen en aantonen dat de verwerking in overeenstemming met de verordening wordt uitgevoerd (artikel 24 lid 1 AVG). Er dient dus bewijs te zijn van een deugdelijk management op het gebied van privacy binnen de organisatie.
Het opstellen, invoeren en naleven van een intern privacybeleid is een belangrijke stap op dit gebied. In een dergelijk privacybeleid leg je vast op welke wijze je als organisatie omgaat met persoonsgegevens van opdrachtgevers, relaties, medewerkers etc.. Het opstellen van een privacybeleid is een goede eerste stap in de richting van privacy-compliancy.
Uiteraard kunnen wij vanuit het Juristencollectief organisaties hierbij van dienst zijn.
Deze blog is geschreven door voormalig collega Wilma van de Meerakker.