T: +31(0)35 744 0164
F: +31(0)35 744 0165
MAIL@REYNEVELDADVOCATUUR.NL

AVG compliance stappenplan

De invoering van de Algemene Verordening Gegevensbescherming (AVG) stelt ondernemers en organisaties voor veelal complexe vragen. Wat mag wel en wat mag niet? De strenge Europese regelgeving, bedoeld voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel en andere personen, valt onder de privacywet. AVG compliance begint met een inventarisatie: wat doet u en waarom? Aan de hand van onderstaand stappenplan maakt Reyneveld Advocatuur uw bedrijf AVG-proof.

1

Inventarisatie

In deze stap wordt organisatie-breed vastgelegd welke verwerkingen van persoonsgegevens plaatsvinden en hoe lang persoonsgegevens bewaard worden. Daaronder valt ook het ter verwerking doorgeven of ontvangen van persoonsgegevens aan of van derden. De verwerkingen en de aard van de bijbehorende gegevens worden vastgelegd in een verwerkingsregister. Gekeken wordt of in het verleden sprake was van beveiligingsproblemen of datalekken.

Tevens wordt geïnventariseerd welke AVG-gerelateerde afspraken of overeenkomsten reeds aanwezig zijn. Bijvoorbeeld welke verwerkersovereenkomsten, interne regelingen, privacy-statement of -verklaring en dergelijke al vastgelegd zijn. Dit alles bij elkaar geeft een beeld van waar de organisatie zich bevindt met betrekking tot AVG compliance.

2

Controle van grondslagen voor de verwerking

In deze stap worden de grondslagen voor de verwerking onderzocht en op welke wijze deze grondslagen eventueel aangevuld kunnen worden of verwerking beperkt kan worden. Zonder grondslag mogen persoonsgegevens niet verwerkt worden.

3

Controle op aanwezigheid van correcte verwerkers-overeenkomsten

In deze stap worden de grondslagen voor de verwerking onderzocht en op welke wijze deze grondslagen eventueel aangevuld kunnen worden of verwerking beperkt kan worden. Zonder grondslag mogen persoonsgegevens niet verwerkt worden.

4

Controle op uitoefening van rechten van betrokkenen

Betrokkenen – mensen wiens persoonsgegevens verwerkt worden – hebben privacy-rechten. Onder meer het recht op inzage, verwijdering en correctie. De organisatie of het systeem behoort dus in staat te zijn verzoeken van betrokkenen conform de AVG af te handelen.

5

Controle op de noodzaak voor DPIA’s en/of een Functionaris Gegevensbescherming

Voor sommige organisaties is de aanstelling van een Functionaris Gegevensbescherming een verplichting. Wanneer dit niet het geval is kan toch besloten worden dat het aanstellen van een privacy officer een goed idee is. In de AVG en middels aanwijzingen van de Autoriteit Persoonsgegevens is vastgesteld wanneer het uitvoeren van een DPIA verplicht is. Heel kort gezegd is dat het geval als de verwerking een hoog privacy-risico met zich meebrengt.

6

Oplijnen van de organisatie aan de AVG

Dit gaat over de zachtere kant van AVG compliance. De AVG voorziet in Privacy by Design, Privacy by Default en vereist tijdig adequaat handelen in geval van een datalek. Leeft de AVG onder de werknemers? Dit zijn zaken die ingebed behoren te worden in de organisatie. Bijvoorbeeld een voordracht voor werknemers over de AVG in samenhang met de inbedding in het bedrijf of de organisatie creëert bewustzijn en helpt risico’s verlagen.

7

Vastleggen en verantwoording afleggen in een privacy-document

Dit document is uw bewijs dat de organisatie voldoet of zal voldoen aan de eisen die de AVG stelt. Bij wijzigingen in werkwijze of verwerking is het noodzakelijk om voorgaande stappen nog eens af te lopen en de benodigde aanpassingen van het privacy-document te doen.

Werkwijze

Dit proces heb ik in het verleden met meerdere cliënten doorlopen. In sommige gevallen had ik daarbij slechts de rol van controleur, adviseur en coach, in andere gevallen heb ik zelf het onderzoek uitgevoerd en de benodigde teksten/contracten voor deze cliënt opgesteld. Het hangt af van de wensen van cliënten en of bij de cliënt iemand aanwezig is met (basis)verstand van zaken. Ik ben flexibel en kosteneffectief in te passen voor AVG compliance.
Algemene voorwaarden
Continuïteit en vervanging
Klachtenregeling