De AVG-checklist (privacywet)

Voldoet jouw organisatie al aan de Privacy wet- en regelgeving? Bekijk de AVG-checklist en kom erachter of deze taken al worden opgepakt. Het zijn duidelijke taken die hetzelfde zijn voor iedere organisatie die persoonsgegevens verwerkt.

De AVG checklist

  1. Controleer of je gegevens mag verwerken.
    Om wettelijk gezien persoonsgegevens te mogen verwerken moet je voldoen aan tenminste één van de grondslagen van de AVG. Zoals het verkrijgen van toestemming van de personen in kwestie. Natuurlijk zijn er ook nog bijzondere of gevoelige gegevens en hiervoor gelden extra eisen.

  2. Houd je aan de verantwoordingsplicht
    Op het moment dat er persoonsgegevens verwerkt worden, geldt er een verantwoordingsplicht. Een belangrijk onderdeel hiervan is dan ook het bijhouden van een verwerkingsregister. Onder andere hiervoor hebben wij PIMS ontwikkeld, het Privacy Information Management Systeem. Dit omvat alles wat je nodig hebt om efficiënt te kunnen (samen)werken en AVG-compliant te zijn.

    Om een verwerkingsregister bij te kunnen houden dien je de gegevensverwerking van je organisatie in kaart te brengen. Je moet weten welke persoons­gegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen, waar je ze opslaat en met wie je ze deelt. Ook dit kunnen wij voor je verzorgen en maakt deel uit van onze werkwijze bij de implementatie van PIMS.

  3. Vraag op de juiste manier toestemming
    Je moet op een duidelijke manier kunnen aantonen dat personen toestemming hebben gegeven aan jouw organisatie om hun persoonsgegevens op te slaan. Deze toestemming moet je netjes, duidelijk en op een ondubbelzinnige manier vragen. Op die manier kunnen er geen misverstanden ontstaan.

  4. Geef personen inzage en rechten
    Binnen de Privacy wet- en regelgeving hebben personen het recht op inzage, correctie en verwijdering van hun gegevens. Als organisatie moet je er dus ook voor zorgen dat dit mogelijk is. Dit kan bijvoorbeeld met een beveiligde online omgeving op de website van de organisatie.

    Op het moment dat een persoon zijn of haar gegevens wil wijzigen, moet deze wijziging ook worden doorgegeven aan de instanties/organisaties waar je de gegevens mee hebt gedeeld.

    Ook het eigen personeel heeft recht op inzage van hun gegevens. Dus als een werknemer zijn personeelsdossier wilt inzien, moet je deze aan hem kunnen tonen. Hierop moet duidelijk zijn welke persoonlijke gegevens er bewaard worden.

  5. Zorg dat de persoonsgegevens makkelijk overgezet kunnen worden
    Je moet er als organisatie voor zorgen dat personen op een makkelijke manier hun gegevens kunnen opvragen en kunnen doorgeven aan een andere organisatie. Dit is van belang wanneer iemand bijvoorbeeld overstapt naar een andere partij.

  6. Maak een DPIA (Data Protection Impact Assessment)
    Middels een DPIA breng je voorafgaand aan een gegevensverwerking de mogelijke privacy risico’s in kaart. In sommige gevallen is het uitvoeren van een DPIA zelfs verplicht. Meer hierover lees je bij de Autoriteit Persoonsgegevens.

  7. Stel een verantwoordelijke of Functionaris Gegevensbescherming aan
    Het is belangrijk om iemand aan te stellen als verantwoordelijke om toezicht te houden op het naleven van de AVG wet- en regelgeving. Uiteindelijk ben je als werkgever zelf aansprakelijk voor het naleven van de regels. In sommige gevallen ben je als organisatie zelfs verplicht om een Functionaris Gegevensbescherming aan te stellen. 

  8. Meldplicht datalekken
    Je bent verplicht om iedere datalek binnen je organisatie te documenteren. Daarnaast is het verplicht om ernstige datalekken direct te melden bij de Autoriteit Persoonsgegevens.

  9. Zorg voor verwerkingsovereenkomsten
    In sommige gevallen worden de persoonsgegevens doorgespeeld aan andere partijen omdat zij bepaald werk uit handen nemen voor de organisatie, bijvoorbeeld de salarisadministratie. Leg in dat geval in een contract vast welke persoonsgegevens zij verwerken, voor welke doeleinden, etc.

AVG in de dagelijkse gang van zaken

Naast de AVG-checklist is het ook belangrijk om AVG onderdeel uit te laten maken van je dagelijkse manier van werken. Hieronder hebben wij twee voorbeelden opgesomd die dit mogelijk kunnen maken.

  1. Privacy by design & privacy by default
    Privacy by design betekent dat er bij het ontwikkelen van een product of dienst rekening wordt gehouden met het juist verwerken van de persoonsgegevens. Het is belangrijk om hier rekening mee te houden.

    Privacy by default betekent dat de organisatie technische en organisatorische maatregelen moet treffen, om ervoor te zorgen dat alleen de persoonsgegevens verwerkt worden die nodig zijn voor het specifieke doel dat bereikt dient te worden. Bijvoorbeeld bij al bestaande producten en diensten zullen hier soms maatregelen in genomen moeten worden.

  2. Tot slot, bewustwording
    Voldoen aan de AVG wet- en regelgeving doe je niet alleen. Nee, juist samen met alle medewerkers en partners kun je ervoor zorgen dat er op de juiste manier omgegaan wordt met persoonsgegevens. Dit kan alleen als de betrokken personen op de hoogte zijn van de privacy wet- en regelgeving.

Middels de AVG-checklist weet je waar je op moet letten en welke stappen er gezet moeten worden.

Zoals je ziet heeft de AVG veel voeten in aarde. Hierdoor is het makkelijk om het overzicht te verliezen en fouten te maken. Om die reden hebben wij onderzoek gedaan naar de wensen en behoeften van organisaties, zodat zij efficiënter en overzichtelijk met de AVG om kunnen gaan. Hieruit is het product PIMS ontstaan. Het Privacy Information Management Systeem van Simac. PIMSomvat alles wat je nodig hebt om AVG-compliant te kunnen zijn, samen te werken, taken uit te zetten en nog veel meer. Kortom, alles wat je nodig hebt in één overzichtelijke oplossing.


Advies nodig bij het vinden van de beste oplossing voor jouw bedrijf?

Wij helpen je graag verder!

Advies aanvragen

Contact opnemen

Contact