17 april 2018 - No Comments!

GDPR Checklist * Privacy

U heeft nog maar even voordat de General Data Protection Regulation (“GDRP”) (De Algemene Verordening Gegevensbescherming (AVG)) op 25 mei a.s. in werking treedt. Veel verplichtingen waren ook al van toepassing onder de Wet Bescherming Persoonsgegevens, maar er verandert wel degelijk wat. Ook heeft de Autoriteit Persoonsgegevens de bevoegdheid om te handhaven. Dit kan leiden tot het opleggen van boetes (max EUR 20 miljoen of 4% van de wereldwijde jaaromzet) of andere interventies.
Waar moet u op letten bij de implementatie van de nieuwe regels? Hierbij een kort overzicht.

1. Breng de datastromen in uw organisatie in kaart
Welke persoonsgegevens worden verwerkt, voor welk doel, voor welke duur en met wie worden de gegevens gedeeld? Op welke grondslag worden de persoonsgegevens verwerkt (bijvoorbeeld toestemming of gerechtvaardigd belang)? Nieuw vereiste onder de GDPR is dat u een register van verwerkingsactiviteiten bijhoudt. Ook moet er een gegevensbeschermingsbeoordeling voorafgaand aan een nieuwe verwerkingsactiviteit plaatsvinden.

2. Waarborgen van rechten
In de processen dient u te waarborgen dat de betrokkenen van wie persoonsgegevens worden verwerkt hun rechten onder de GDPR kunnen uitoefenen. Denk hierbij aan het recht op inzage, het recht op rectificatie, het recht op verzet, het recht op overdracht van gegevens en het recht op vergetelheid.

3. Update uw Privacy Protocol en Verwerkersovereenkomst
Als de datastromen in kaart zijn gebracht kunnen het privacy protocol en de verwerkersovereenkomsten worden aangepast. In de verwerkersovereenkomst dienen tenminste het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, alsmede de rechten en verplichtingen van de verwerkingsverantwoordelijke te worden omschreven.

4. Check of u verplicht bent een Data Privacy Officer aan te stellen
Deze verplichting bestaat bijvoorbeeld als de organisatie hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen. Als er geen verplichting bestaat om een DPO aan te stellen, is het ook mogelijk om dit op vrijwillige basis te doen.

5. Privacy bewustwording binnen de organisatie
Omdat de GDPR ingrijpt in de gehele organisatie, kunnen organisaties de verantwoordelijkheid niet bij één persoon, bijvoorbeeld de privacy officer, neerleggen. Privacy moet in alle lagen van de organisatie op de agenda staan. Bewustwording is van belang voor het waarborgen van een correcte naleving van de GDPR binnen uw organisatie.

Heeft u hulp nodig of vragen over GDPR? Neem contact op! annerieke@alawyer.nl

www.alawyer.nl

Published by: Annerieke Weijts-Huiskes in Geen onderdeel van een categorie

Comments are closed.