← terug naar nieuwsoverzicht

Maak uw organisatie AVG-bestendig

20-04-2018
Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing voor alle organisaties die gegevens van personen in een bestand bewaren. Deze organisaties moeten zich aan de regels in deze nieuwe verordening houden. Met deze tips bereidt u zich alvast goed voor.

Maak uzelf en uw organisatie bewust
Zorg ervoor dat u zich bewust bent van de regels van AVG. Lees erover of laat u voorlichten. Heeft u een organisatie met personeel in dienst? Begin dan met het inlichten van relevante medewerkers over de nieuwe privacyregels. Zij kunnen inschatten wat de impact van de AVG is op uw huidige processen, diensten en producten. Daarnaast kunnen zij bepalen wat u moet doen om aan de AVG te voldoen.

Hoe verwerkt u gegevens?
U moet van de AVG verantwoording kunnen afleggen over hoe u gegevens gebruikt. Breng uw gegevensverwerkingen daarom duidelijk in kaart. Maak duidelijk welke persoonsgegevens u gebruikt, met welk doel, waar u ze opslaat en met wie u die gegevens deelt. Een overzicht van gegevensverwerkingen heeft u ook nodig wanneer betrokkenen gebruik maken van hun privacy-rechten.

Hoe bewaart u gegevens?
Betrokkenen moeten weten dat hun persoonsgegevens worden verwerkt en met welk doel. Ze hebben het recht hun gegevens in te zien en aan te (laten) passen. Bij verenigingen is het duidelijk dat persoonsgegevens noodzakelijk zijn voor het lidmaatschap en om deel te nemen aan de activiteiten. Dit laatste geldt ook voor deelname aan activiteiten van een stichting.

Bijzondere persoonsgegevens
Verwerken van bijzondere persoonsgegevens is verboden, tenzij hiervoor een wettelijke uitzondering is of de persoon daar uitdrukkelijk toestemming voor heeft gegeven. Hierbij kunt u denken aan gegevens als godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of politieke partij en strafrechtelijke persoonsgegevens. Maar ook medische informatie mag alleen opgeslagen worden als er een wettelijke uitzondering is.

Documenteer datalekken
De AVG verplicht u alle datalekken intern vast te leggen en te documenteren. Ook datalekken die u niet hoeft te melden. Verwerkt u privacygevoelige data? Dan bent u straks wettelijk verplicht alle datalekken te melden aan de Autoriteit Persoonsgegevens.

Functionaris voor de gegevensbescherming (FG)
U kunt een functionaris voor de gegevensbescherming (FG) aanstellen. Dit is niet verplicht voor alle organisaties, maar wel voor overheids- en publieke organisaties, organisaties die persoonsgegevens analyseren en wanneer bijzondere persoonsgegevens worden opgeslagen. De FG heeft zeggenschap over de bestanden en legt verantwoording af aan de verantwoordelijke beheerder, meestal het bestuur.

Privacy Impact Assessment (PIA)
Met een PIA brengt u in beeld wat de gevolgen zijn van het verzamelen van persoonsgegevens voor de personen zelf. Een PIA moet alleen gedaan worden als met de persoonsgegevens systematisch persoonlijke aspecten worden geëvalueerd, op grote schaal bijzondere gegevens worden verwerkt of personen worden gevolgd in een publieke ruimte.

Controle
In Nederland controleert de Autoriteit Persoonsgegevens of organisaties voldoen aan de Algemene Verordening Gegevensbescherming. De Autoriteit Persoonsgegevens kan ook boetes opleggen wanneer na waarschuwingen een organisatie het beleid rond bescherming persoonsgegevens niet verbetert.

Heeft u vragen over de AVG, neem contact met ons op.

 

Top