AVG stappenplan: de belangrijkste stappen op een rij.

Sinds mei 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Vanaf die datum geldt in de hele Europese Unie dezelfde privacywetgeving. Ten eerste zijn hiermee de rechten van betrokkenen uitgebreid en zijn de bestaande rechten versterkt. Daarnaast moeten organisaties, meer dan voorheen, kunnen aantonen dat zij zich aan de wet houden. Dit wordt de verantwoordelijkheidsplicht genoemd. Met het AVG stappenplan controleert u snel welke acties uw organisatie moet nemen om AVG compliant te zijn.

Stap 1: Stel een privacybeleid op.

Voordat u begint met de volgende stappen is het belangrijk om een privacybeleid op te stellen. Niet alleen om vast te leggen hoe u omgaat met persoonsgegevens maar ook om gedragsregels en werkinstructies op te stellen. Denk vooral niet te moeilijk maar houdt het beleid kort en bondig.

Stap 2: Breng uw gegevensverwerkingen in kaart.

De tweede stap die u zet is het inzichtelijk maken van de verwerkingen die u uitvoert. Hoewel u dit natuurlijk weet is het ook belangrijk om dit te documenteren. Bovendien moet u vastleggen voor welk doel u de gegevens verwerkt, hoe u aan de gegevens komt en of u de gegevens deelt met derden.

Stap 3: Wettelijke grondslag voor de verwerking.

Nadat u bij stap 2 de verwerkingen in kaart heeft gebracht documenteert u ook op basis van welke grondslag u deze gegevens verwerkt. Hoewel veel organisaties kiezen voor de toestemming van de betrokkenen zijn er ook andere grondslagen. In veel gevallen kunt u zich ook beroepen op één van de andere wettelijke grondslagen uit de AVG.

Stap 4: Privacy by design & privacy by default

De AVG introduceert twee nieuwe – verplichte – uitgangspunten te weten privacy by design en privacy by default. Privacy by design betekent dat u al bij het ontwikkelen van producten en diensten er voor zorgt dat de persoonsgegevens goed worden beschermd. Privacy by default houdt in dat u alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor het doel. 

Stap 5: Rechten van betrokkenen.

Zoals gezegd zijn de rechten van betrokkenen versterkt en uitgebreid. Vandaar dat het cruciaal is om hier een proces voor in te richten. Bijvoorbeeld door een formulier op te stellen. Vervolgens gebruikt u de input van stap 2 om te bepalen hoe u aan de verschillende rechten kunt voldoen. Anders gezegd kan dit ook data minimalisatie worden genoemd.

Stap 6: De meldplicht datalekken.

Onder de AVG blijft de meldplicht datalekken grotendeels hetzelfde. Wel stelt de AVG strengere eisen aan de interne registratie van datalekken. Hieruit volgt dat u alle datalekken documenteert. Met deze documentatie kan de toezichthouder toetsen of u aan de meldplicht heeft voldaan.

Stap 7: Verwerkersovereenkomsten.

In een verwerkersovereenkomst maakt u afspraken met derden aan wie u de verwerking van persoonsgegevens uitbesteedt. Hierin legt u onder andere het doel van en de middelen voor de verwerking vast.

Stap 8: Functionaris gegevensbescherming.

Onder de AVG zijn sommige organisaties verplicht om een functionaris gegevensbescherming aan te stellen. Hoewel de verplichting voor sommige organisaties geldt, mag uw bedrijf ook vrijwillig een FG aanstellen. 

Als u na het doorlopen van het AVG stappenplan nog vragen heeft over de AVG of privacy in het algemeen neem dan contact op. Daarnaast kunt u ook de gratis AVG privacy nulmeting invullen. 



AVG Stappenplan