Waar moeten organisaties volgens de AVG allemaal rekening mee houden bij een nieuw project?

Wanneer uw organisatie een nieuwe tool of een nieuw softwarepakket – bijvoorbeeld een nieuw CRM-systeem of een nieuwe nieuwsbrieftool – gaat gebruiken, dient dit in lijn met de Algemene verordening gegevensbescherming (AVG) te zijn. In deze blog leggen we uit waar uw organisatie onder andere rekening mee dient te houden.

Privacyverklaring

Allereerst heeft elke organisatie een informatieplicht. De privacyverklaring is het aangewezen instrument om hieraan te voldoen. Hierin legt u uit welke persoonsgegevens er binnen uw organisatie worden verwerkt, waarom dat eigenlijk gebeurt (wat is het doel?) en hoelang die gegevens bewaard blijven. Wanneer er bijvoorbeeld een nieuwe tool aan een website wordt toegevoegd zoals een nieuwsbrieffunctionaliteit, dient deze verwerking te worden toegevoegd aan de bestaande privacyverklaring.

De privacyverklaring bevat in ieder geval:

  • De identiteit van de verwerkingsverantwoordelijke en de gegevens van de functionaris gegevensbescherming (indien aangesteld)
  • Doeleinden en grondslagen voor de verwerking van persoonsgegevens
  • Rechten van betrokkenen
  • Genomen beveiligingsmaatregelen
  • De ontvangers van persoonsgegevens (derden)
  • Verwerking van persoonsgegevens buiten de EU
  • Bewaartermijnen
  • Indien van toepassing: informatie over profilering

Verwerkingsregister

Vervolgens dient de nieuwe verwerking ook te worden toegevoegd aan het verwerkingsregister. Het verwerkingsregister is in feite een overzicht van alle gegevensverwerkingen die binnen de organisatie spelen. In het register legt u onder andere uit van wie er persoonsgegevens worden verwerkt, welke persoonsgegevens dat dan zijn, en door welke partijen dit gebeurt. Voor de volledigheid raden we ook altijd aan om de verwerkingsgrondslag erin op te nemen, zoals ‘toestemming’, of ‘uitvoering van de overeenkomst’.

Verwerkersovereenkomst

Wanneer een organisatie van plan is om persoonsgegevens te laten verwerken door een derde partij (in opdracht van), is het op grond van de AVG verplicht om hier passende afspraken over te maken. Van zo’n situatie is bijvoorbeeld sprake als uw onderneming gebruik maakt van een salarisadministratietool. Het bedrijf dat het doel en de middelen van de verwerking bepaalt, is de verwerkingsverantwoordelijke (uw organisatie). De verwerker handelt vervolgens in opdracht van de verwerkingsverantwoordelijke en verwerkt de gegevens feitelijk gezien (salarisadministratietool).

Afspraken over de verwerking van persoonsgegevens worden normaliter vastgelegd in een verwerkersovereenkomst. Het is belangrijk om inzichtelijk te krijgen welke persoonsgegevens verwerkt worden en van wie die persoonsgegevens zijn (betrokkenen). Het is gebruikelijk om in een bijlage de categorieën betrokkenen en persoonsgegevens op te nemen. Daarnaast is het belangrijk om afspraken te maken over hoe er gehandeld dient te worden bij een datalek of een verzoek van een betrokkene. In de verwerkersovereenkomst wordt daarom vastgelegd wie in dat geval moet worden geïnformeerd en, indien gewenst, binnen welke termijn. Als er persoonsgegevens worden doorgegeven buiten de Europese Economische Ruimte (EER) moet dit eveneens worden opgenomen in de verwerkersovereenkomst. De verantwoordelijke moet namelijk weten waar de gegevens worden opgeslagen en, wanneer dit buiten de EER is, welke passende waarborgen dan zijn getroffen.

Data Protection Impact Assessment (DPIA)

Bij de implementatie van bijvoorbeeld een nieuw softwaresysteem dient van tevoren een afweging te worden gemaakt of dit hoge privacyrisico’s zal opleveren. Wanneer dit het geval is zal er een DPIA moeten worden uitgevoerd; het is dus niet in alle gevallen verplicht. Een situatie waarin een DPIA wel verplicht is, is bijvoorbeeld wanneer u op grote schaal bijzondere (gezondheids)gegevens gaat verwerken of systematisch gaat monitoren (cameratoezicht, maar ook monitoring van medewerkers bij thuiswerken). Het doel van een DPIA is om vooraf risico’s in kaart te brengen en deze op passende wijze te minimaliseren. Een DPIA is geen eenmalige analyse, het is een doorlopend proces om scherp te blijven of uw organisatie geen onnodige privacyrisico’s loopt.

Via Privacy Verified krijgt u, indien gewenst, toegang tot het Privacy Verified-portal waarin u gemakkelijk zelf aan bovenstaande eisen kunt voldoen. Neem voor meer informatie contact met ons op!

Wilt u meer weten over Privacy Verified?

Heeft u behoefte aan een AVG toets op maat? Wij komen graag met u in contact om privacy binnen uw organisatie zo goed mogelijk in te richten en te managen. Zo zorgen we samen dat privacy vóór uw organisatie gaat werken, en niet andersom.

Een greep uit onze klanten