Natuurlijk heb ik het hier weer over de AVG. Wanneer voldoe je nu als bedrijf aan deze privacywet?
Daartoe is het in elk geval belangrijk dat je als organisatie de volgende vragen positief en helder kunt beantwoorden:
- Welke persoonsgegevens verwerk ik als organisatie? En verwerken is alle gebruik, ook alleen inzien en/of opslaan ervan.
- Heb ik een goede reden om deze persoonsgegevens te verwerken? In de AVG worden 6 grondslagen oftewel redenen genoemd waarop je, je verwerking baseert, namelijk: (1) op toestemming van de personen waarvan je de persoonsgegevens gebruikt, (2) om een overeenkomst uit te kunnen voeren, (3) omdat je het wettelijk verplicht bent, (4) om vitale belangen te beschermen, (5) omdat het noodzakelijk is om een taak van algemeen belang of openbaar gezag uit te oefenen of (6) omdat het noodzakelijk is om je gerechtvaardigde belangen te behartigen. Meer hierover in een andere post 😉
- Heb ik een functionaris gegevensbescherming nodig? Dit moet zelfs volgens de AVG wanneer je op grote schaal bijzondere persoonsgegevens verwerkt en als dit je kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.
- Ben ik verplicht een data protection impact assessment (DPIA) uit te voeren? Bij het verwerken van gegevens met een hoog privacyrisico is dit verplicht.
- Moet ik een register van verwerkingsactiviteiten opstellen? Waarschijnlijk wel als je persoonsgegevens gebruikt maar dan is het nog even afhankelijk wel rol jij hebt als het gaat om de AVG (namelijk verwerker of verwerkingsverantwoordelijke) waar dat register aan moet voldoen.
- Heb je de juiste maatregelen genomen om de persoonsgegevens te beveiligen?
- Heb je schriftelijke afspraken gemaakt met de partijen die voor jou of met jou persoonsgegevens verwerken? Ook dit is verplicht volgens de AVG. Waar die afspraken aan moeten voldoen is ook weer afhankelijk welke rollen jij en die andere partij hebben als het gaat om de AVG (namelijk verwerker en/of verwerkingsverantwoordelijke).
- Tenslotte: voldoe je aan de informatieplicht van de AVG en informeer je de personen waarover je persoonsgegevens gebruikt tijdig en op de juiste wijze? En ben je tevens voorbereid op verzoeken van die personen als zij hun privacyrechten uitoefenen bij je?
Mocht je nog niet (al) deze vragen positief en/of helder kunnen beantwoorden, dan stuur me gerust een bericht (gwenny@ge-mek.nl of tel. 0622037358). Ik denk graag met je mee.Â