NL EN
Legal

AVG: het begint bij bewustwording

Mr. Jan van Ederen Mr. Jan van Ederen

Vanaf 25 mei 2018 wordt u geacht te voldoen aan de Algemene verordening gegevensbescherming (AVG). Wellicht weet u precies wat dat voor uw organisatie inhoudt, of wellicht heeft u nog een aantal zaken op orde te brengen voor de 25e. Controleer daarom hoe ver u bent of hoe u uw organisatie compliant maakt.

Over de AVG

Onder de AVG vallen alle verwerkingen die betrekking hebben op persoonsgegevens. Met andere woorden alle momenten waarop een organisatie gegevens waarmee een natuurlijke persoon te identificeren is verwerkt. Hieronder valt onder andere het verzamelen, vastleggen, gebruiken, verstreken of opslaan van gegevens. Dit geldt voor gegevens van bijvoorbeeld uw klanten, maar ook voor gegevens van uw medewerkers. Inderdaad, dat zijn er nogal wat in een gemiddelde organisatie.

Begin bij bewustwording

Belangrijk is dat iedereen in uw organisatie op de hoogte is van de aankomende wijziging in wetgeving. Vervolgens kunt u uw organisatie op de juiste manier inrichten om zo aan alle verplichtingen te voldoen. Op alle lagen binnen uw organisatie dienen medewerkers bijvoorbeeld bewust zijn van hun meldingsplicht bij een inbreuk op persoonsgegevens (datalek), welke gegevens zij wel of niet mogen inzien en aan wie ze deze gegevens mogen verstrekken.

Ook op het hoogste niveau is het van belang in kaart te brengen welke gegevens uw organisatie exact verwerkt en waarvoor u deze gebruikt. Indien u persoonsgegevens op niet-incidentele basis verwerkt dan bent u verplicht alle verwerkingen vast te leggen in een verwerkingsregister. Dat bent u al snel, nu alle verwerkingen met een zekere bestendigheid - zoals uw personeelsadministratie of klantendatabase - hieronder vallen.

Het verwerkingsregister

Het register houdt u schriftelijk bij en dient om aan te tonen dat u voldoet aan de verplichtingen uit de verordening door inzichtelijk te maken welke reis de gegevens afleggen in uw organisatie en hoe de gegevens beschermd worden. U neemt in ieder geval de volgende onderdelen in het verwerkingsregister op:

  1. De naam en contactgegevens van de verantwoordelijke; inclusief de concrete afdeling en verantwoordelijke manager.
  2. De doeleinden van de verwerking en de grondslag waarop deze verwerking plaatsvindt; bijvoorbeeld na toestemming van de betrokkene, of wegens uitvoering van een overeenkomst.
  3. Een beschrijving van de categorieën gegevens die verwerkt worden en op welke categorieën betrokkenen (de identificeerbare natuurlijke personen) dit betrekking heeft.
  4. Hoe lang de persoonsgegevens bewaard (mogen) worden; nooit langer dan noodzakelijk en rekening houdend met eventuele wettelijke bewaartermijnen, u motiveert waarom u voor deze termijn kiest.
  5. Een omschrijving van de categorieën ontvangers aan wie u de persoonsgegevens verstrekt. Hierin maakt u onderscheid tussen ontvangers in de Europese Economische Ruimte en daarbuiten. Vindt doorgifte plaats naar derde landen of internationale organisaties? Dan toont u met documenten aan hoe deze bescherming van gegevens plaatsvindt.
  6. De organisatorische en technische beveiligingsmaatregelen die u heeft getroffen.

Heeft u hulp of advies nodig bij het opstellen van een verwerkingsregister? Neemt u dan contact op met onze bedrijfsjuridisch adviseurs.

Gerelateerde artikelen