Op 28 januari is het de Europese Dag van de Privacy. Een mooie aanleiding om te checken of uw organisatie nog voldoet aan alle AVG-regels. In deze blog delen we de 5 checks die u jaarlijks kunt doen om up-to-date en privacyproof te blijven.
Wat is de Europese Dag van de Privacy?
In 2007 heeft de Raad van Europa met steun van de Europese Commissie de jaarlijkse Europese Dag van de Privacy (Dataprotectiedag) in het leven geroepen. Gekozen is voor 28 januari, omdat dit de dag is waarop in 1981 het Dataprotectieverdrag werd ondertekend.
Het doel van deze dag?
Europese inwoners beter informeren over hun rechten betreffende het gebruik van hun persoonsgegevens door overheden en organisaties. Op deze dag worden organisaties ook aangemoedigd om de bescherming van persoonsgegevens te verbeteren. Hieronder ziet u hoe u hieraan een bijdrage kunt leveren.
5 jaarlijkse privacychecks voor iedere organisatie
In de Algemene Verordening Gegevensbescherming (AVG) staan strenge regels over de verwerking van persoonsgegevens en worden de rechten van betrokkenen benoemd. Deze privacywetgeving geldt binnen de hele EU.
Niet iedere organisatie heeft dezelfde verplichtingen ten aanzien van de AVG. Dit hangt onder meer af van de grootte van de organisatie, de categorieën persoonsgegevens die u verwerkt en in welke hoedanigheid (verwerker of verwerkingsverantwoordelijke).
Voldoet u niet aan de AVG? Dan kan de Autoriteit Persoonsgegevens een (hoge) boete opleggen.
Daarom is het belangrijk om jaarlijks te checken of uw organisatie nog aan de AVG voldoet. Daarvoor beantwoordt u de volgende 5 vragen:
Heeft uw organisatie - indien nodig - verwerkersovereenkomsten afgesloten en zijn deze nog in orde?
Hoe gaat u om met privacyverzoeken van betrokkenen?
Staat er een privacyverklaring op de website en is deze nog up-to-date?
Is mijn verwerkingsregister bijgewerkt?
Is het protocol datalekken nog actueel?
Hieronder een korte toelichting per vraag.
1. Verwerkersovereenkomsten
Als u de verwerking van persoonsgegevens uitbesteedt aan een derde partij, dan vereist de AVG dat er schriftelijk een verwerkersovereenkomst wordt gesloten. De verwerkersovereenkomst bevat onder meer een omschrijving van het onderwerp, de duur, de aard en de doeleinden van de verwerking. Als uitbestedende partij bent u de verwerkingsverantwoordelijke en de andere partij is de verwerker.
Heeft u een of meerdere verwerkersovereenkomsten gesloten?
Dan is het belangrijk deze jaarlijks te checken. Wellicht verwerkt u inmiddels andere type persoonsgegevens, hebben zich incidenten voorgedaan of hebben betrokkenen gevraagd om wijzigingen in de verwerking van hun persoonsgegevens.
Check daarom in ieder geval of er:
beveiligingsincidenten hebben plaatsgevonden en hoe deze zijn behandeld/gemeld;
nieuwe beveiligingseisen (wet- en regelgeving of beleid) zijn en of er wijzingen zijn in de programmatuur of infrastructuur van de verwerker;
afgelopen jaar audits zijn uitgevoerd bij de verwerker of dat het noodzakelijk is om er één te doen;
verzoeken van betrokkenen tot wijzigingen of verwijdering zijn binnengekomen en op welke wijze de afhandeling en verleende medewerking van de verwerker is verlopen;
persoonsgegevens volgens afspraak zijn gewist/terugbezorgd, op welke wijze dit gebeurd is en hoe u dit kunt aantonen bij controles.
Lees hier meer over het sluiten en checken van verwerkersovereenkomsten en bekijk direct onze handige checklist.
2. Privacyverzoeken van betrokkenen
De AVG geeft betrokkenen veel rechten op het gebied van de bescherming van hun persoonsgegevens, zoals het recht op:
inzage, waaronder het ontvangen van een kopie van de persoonsgegevens die u van iemand verwerkt;
vergetelheid, waarbij u erop moet letten dat u vaak niet alle gegevens kunt wissen;
rectificatie en aanvulling, oftewel het wijzigen van de eigen persoonsgegevens;
dataportabiliteit, waarbij gegevens worden overgedragen aan een andere partij; en
beperking van verwerking, zodat u minder gegevens van iemand verwerkt.
Ga jaarlijks na of uw organisatie in de afgelopen periode verzoeken heeft ontvangen van mensen die hun privacyrechten willen uitoefenen en of deze snel en volgens de contractuele afspraken zijn afgehandeld. Zorg dat u grip heeft en houdt op uw interne processen hieromtrent.
3. Privacyverklaring
De AVG legt u ook een informatieplicht op. Om hieraan te voldoen is een goede privacyverklaring een handig hulpmiddel. In een privacyverklaring verschaft u bezoekers informatie over hoe en waarom uw organisatie gegevens verzamelt en verwerkt. De verklaring is vaak te vinden op websites.
Het is wel belangrijk om het privacy statement jaarlijks te controleren op actualiteit. Lees uw verklaring ieder jaar kritisch door. Houd bijvoorbeeld onze checklist bij de hand om te controleren of uw statement AVG-proof is.
4. Verwerkingsregister
Het verwerkingsregister bevat een overzicht van de verwerkingen van persoonsgegevens die binnen een organisatie plaatsvinden. Het hebben van een verwerkingsregister is voor vrijwel iedere organisatie verplicht. Als uw organisatie meer dan 250 personen in dienst heeft, bent u altijd verplicht om een dergelijk overzicht op te stellen. Bij minder dan 250 medewerkers in dienst, is die verplichting er alleen als aan bepaalde situaties is voldaan zoals de situatie dat de verwerking niet incidenteel is. Het komt echter maar heel weinig voor dat een verwerking incidenteel is, waardoor een verwerkingsregister meestal gewoon noodzakelijk is.. Op de site van de Autoriteit Persoonsgegevens vindt u hier alles over.
Ga in ieder geval jaarlijks na of alle (nieuwe) verwerkingen in het verwerkingsregister staan.
5. Protocol datalekken
Heeft er inbreuk plaatsgevonden op persoonsgegevens? Dan is er sprake van een datalek. De verwerkingsverantwoordelijke moet dit lek na ontdekking uiterlijk binnen 72 uur melden bij de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de betrokkenen.
Bij een datalek is snel handelen essentieel. Daarom is het verstandig om binnen de organisatie een protocol datalekken op te stellen en deze jaarlijks na te lopen. Evalueer het protocol door na te gaan of er in het afgelopen jaar beveiligingsincidenten hebben plaatsgevonden, of deze snel en adequaat zijn afgehandeld en of alles op de juiste manier is gedocumenteerd in het datalekregister.
Verandert uw organisatie of werkwijze?
Sommige AVG-regels gelden alleen in specifieke gevallen, bijvoorbeeld voor de verwerking van bijzondere en gevoelige persoonsgegevens en voor grotere organisaties. Blijf daarom alert op voor u nieuwe AVG-regels die ineens van toepassing kunnen worden.
Is de omvang of het type activiteiten van uw organisatie veranderd? Ga dan na of uw organisatie verplicht is om een functionaris gegevensbescherming (FG) aan te stellen.
Gaat u persoonsgegevens verwerken met een hoog privacyrisico voor de mensen van wie de organisatie gegevens verwerkt? Dan is een Data protection impact assessment (DPIA) verplicht.
Tot slot is het goed om na te gaan of nieuwe medewerkers binnen uw organisatie voldoende bewust worden gemaakt van de geldende privacyregels, -eisen en -protocollen.
Ontvang onze blogs in uw mailbox
Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.