Het zal u waarschijnlijk niet zijn ontgaan dat de Algemene Verordening Gegevensbescherming (AVG) inmiddels in werking is getreden. Op grond van de AVG dient vrijwel iedere onderneming verplicht een aantal documenten op te stellen. Wij hebben de belangrijkste documenten voor u op een rij gezet.

Register verwerkingen

Nagenoeg iedere organisatie is op grond van de AVG verplicht om een register verwerkingen op te stellen en bij te houden. In het register verwerkingen dient u de belangrijkste informatie omtrent de verwerkingen die binnen uw organisatie plaatsvinden uiteen te zetten. Wilt u precies weten welke informatie u in het register verwerkingen dient op te nemen? Lees dan stap 5 van ons Stappenplan AVG (nog eens) goed door.

Register datalekken

Bovendien kent de AVG voor organisaties de verplichting om een register datalekken bij te houden. In dit document dient u nauwkeurig de datalekken bij te houden die zich binnen uw organisatie hebben voorgedaan. Er is sprake van een datalek op het moment dat een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is onder andere het geval als iemand toegang krijgt tot persoonsgegevens of persoonsgegevens openbaar toegankelijk worden zonder dat dit de bedoeling is. 
Naast dat u het datalek in sommige gevallen moet melden aan de Autoriteit Persoonsgegevens en/of de betrokkenen, moet u het datalek registreren in uw register. Meer informatie over het register datalekken vindt u in stap 5 van ons stappenplan.

Verwerkersovereenkomst

Op het moment dat uw organisatie een derde inschakelt die ten behoeve van uw organisatie persoonsgegevens verwerkt en deze derde niet onder uw rechtstreekse gezag is onderworpen, dan dient uw organisatie met deze derde een verwerkersovereenkomst af te sluiten. Met de komst van de AVG kunnen zowel de verwerkingsverantwoordelijke als de verwerker door de Autoriteit Persoonsgegevens worden aangesproken op het niet afsluiten van een verwerkersovereenkomst. 
Weet u niet precies of in uw situatie een verwerkersovereenkomst verplicht is, lees dan ons artikel omtrent het verwerken van persoonsgegevens. Welke informatie u in de verwerkersovereenkomst dient op te nemen, vindt u terug in stap 9 van ons stappenplan.

Privacyverklaring klanten en werknemers

Iedere organisatie dient zowel haar klanten als haar werknemers te informeren over de gegevens die zij van haar klanten en werknemers verwerkt. Dit wordt ook wel de informatieplicht genoemd. Deze informatie dient te worden verstrekt op het moment dat de persoonsgegevens worden verzameld. Om aan deze informatieplicht te voldoen, adviseren wij een privacyverklaring op te stellen en deze aan de klanten en werknemers te verstrekken. In stap 8 van ons stappenplan is voor u opgesomd welke informatie u precies dient te verstrekken aan uw klanten en werknemers.

Privacybeleid

Tot slot zijn sommige organisaties verplicht om een privacybeleid op te stellen, zodra dit in verhouding staat tot de verwerkingsactiviteiten. Bij deze beoordeling dient u rekening te houden met de aard, de omvang, de context en het doel van de gegevensverwerking.

Ook als u niet verplicht bent om een privacybeleid op te stellen kan het waardevol zijn om dit toch te doen. Iedere organisatie heeft namelijk een verantwoordingsplicht. Dit betekent dat op u de verantwoordelijkheid rust om aan te kunnen tonen dat uw organisatie aan de AVG voldoet.

De AVG geeft niet precies aan wat in een privacybeleid dient te worden opgenomen. Wij raden u daarom aan in het privacybeleid in ieder geval de navolgende onderdelen op te nemen;

  • een dataminimalisatiebeleid;
  • een beveiligingsbeleid;
  • een beleid datalekken; en
  • een beleid omtrent de rechten van betrokkenen.

Meer informatie over het privacybeleid vindt u in stap 4 van ons stappenplan.

Voldoet uw organisatie nog niet aan de AVG of weet u niet waar u moeten beginnen?

Geen probleem! Neem dan gerust contact op met mij of één van mijn mede AVG-specialisten. Wij helpen u graag op weg!