Wat moet je doen om aan de AVG te voldoen?

Vanaf 25 mei 2018 is de AVG (Algemene Verordening Gegevens Bescherming) van toepassing en kan je organisatie gecontroleerd worden door de Autoriteit Persoonsgegevens (AP) of je voldoet aan deze privacy wet.  

De wet beslaat alle vormen van verwerking van persoonsgegevens. Met “persoonsgegevens” wordt bedoeld: alle gegevens die direct of indirect te herleiden zijn naar een natuurlijk persoon. Pseudo anonieme data valt hier ook onder, net zoals business2business gegevens die herleidbaar zijn naar één persoon.  

Welke stappen moet je als bedrijf zetten om te voldoen aan de wet? Clever Strategy heeft een checklist gemaakt met een aantal belangrijke stappen die je helpen om te voldoen aan de AVG. Wil je zeker weten dat je 100% voldoet aan de privacy wetgeving? Neem dan contact op met een juridisch adviseur.  

Beantwoord de volgende vragen om te bepalen of je aan de AVG wetgeving voldoet:

  1. Welke marketing tools worden er binnen je organisatie gebruikt?
  2. Welke persoonsdata worden hiermee verzameld en zijn deze allemaal relevant?
  3. Kan en wil je gegevens anonimiseren die worden verzameld? (dit kan bijvoorbeeld bij Google Analytics door het aanpassen van een aantal instellingen).
  4. Op welke grondslag worden de persoonsgegevens verwerkt? Bekijk hier de verschillende grondslagen.
  5. Heb je toestemming nodig om gegevens te verwerken (bijvoorbeeld omdat je een remarketing campagne hebt draaien)? Dit kan je vragen aan je bezoekers via de cookiebanner (bijvoorbeeld Cookiebot). Let bij het vragen van toestemming op de volgende punten:
    • Sla de onderstaande informatie op:
      • Dat de betreffende persoon toestemming heeft gegeven
      • Wanneer er toestemming is gegeven
      • Aan wie er toestemming is gegeven (organisatie of bedrijf)
      • Waarvoor er toestemming is gegeven
      • De manier waarop er toestemming is gegeven (vinkje, tekst)
    • Toestemming moet te allen tijde kunnen worden ingetrokken
    • Wil je gegevens verwerken van personen onder de 16? Zorg dan dat je ouderlijke toestemming krijgt
  6. Hoe worden bezoekers geïnformeerd over het verwerken van gegevens?
    • Privacy Statement: staat hierin o.a. duidelijk omschrijven welke gegevens er worden verwerkt, met welk doel er gegevens worden verwerkt, op basis van welke grondslag, hoe lang gegevens worden bewaard en welke rechten personen hebben.
    • Check of er bij formulieren wordt verwezen naar de privacy statement.
  7. Wordt er voldaan aan alle rechten van betrokkenen? Personen hebben de volgende rechten:
    • Het recht op dataportabiliteit: personen hebben het recht alle gegevens die je als bedrijf bewaard te ontvangen.
    • Het recht op vergetelheid: personen hebben het recht om te vragen dat je vergeten wordt. Dat betekent dat je alle gegevens die gekoppeld zijn aan een uniek id (bijvoorbeeld een e-mailadres) moet kunnen verwijderen. Het unieke id mag je wel bewaren, zodat je weet dat je deze persoon niet langer mag gebruiken.
    • Recht op inzage: personen hebben het recht om alle gegevens in te zien die je als bedrijf bewaard.
    • Recht op rectificatie en aanvulling: personen hebben het recht om de persoonsgegevens die worden verwerkt te wijzigen.
    • Het recht op beperking van de verwerking: personen mogen vragen om minder gegevens te laten verwerken.
    • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
    • Het recht om bezwaar te maken tegen de gegevensverwerking.
  8. Moet jouw organisatie een functionaris voor de gegevensbescherming aanstellen? Doe hier de check.
  9. Voldoe je aan de documentatieplicht? Volgens de wet moeten organisaties met meer dan 250 medewerkers bijhouden welke persoonsgegevens er worden verwerkt. Echter wordt er geadviseerd dat elke organisatie dat documenteert.
  10. Heb je verwerkingsovereenkomsten afgesloten met alle organisaties die voor jullie gegevens verwerken? Check hierbij dus ook welke adverteerders er persoonsgegevens verwerken.
  11. Heb je alle procedures helder?
    • Verzoeken van personen: bepaal welke stappen er moeten worden gezet indien iemand een verzoek doet zoals beschreven bij punt 7.
    • Datalekken: wat gebeurt er bij een datalek? Je hebt als organisatie de plicht om in het geval van een datalek binnen 72 uur een melding te maken bij de Autoriteit Persoonsgegevens en ook bij de betrokken personen. Handig om dus duidelijk in kaart te brengen welke stappen er genomen moeten worden.
    • Veiligheid: documenteer wat je er aan doet dat persoonsgegevens veilig worden opgeslagen. Zorg bijvoorbeeld voor een SSL certificaat op je website, maak een wachtwoordbeleid etc.
  12. Moeten we een Privacy Impact Analyse (PIA) uitvoeren? Dit is een vragenlijst voorafgaand aan een project waarmee de risico’s in kaart worden gebracht. Een PIA is alleen verplicht bij projecten waarbij de verwerking van persoonsgegevens hoge privacy risico’s met zich meebrengen. Meer informatie over de PIA vind je hier.

Deze lijst is tot stand gekomen uit verschillende bronnen, zoals Marketing Facts, DDMA, Frankwatching, privacy.nl en autoriteitpersoonsgegevens.nl. We hopen je met deze informatie te helpen met het zetten van de juiste stappen om te voldoen aan de AVG. Er kunnen hier geen rechten aan voltrokken worden. Wil je 100% zeker weten of jouw organisatie compleet voldoet aan de AVG, neem dan contact op met een juridisch adviseur.