Go to Top

AVG-checklist: dit moet je nog doen

avg checklist

Met nog maar een paar weken te gaan is klaar zijn voor de AVG geen bijzaak meer. Vanaf 25 mei geldt de nieuwe Europese verordening AVG op volle kracht en kunnen er gigantische boetes worden uitgedeeld aan bedrijven die het met de dataveiligheid niet zo nauw nemen. Daarom is een laatste check of jij AVG-proof bent geen overbodige luxe. Gebruik de checklist om te kijken wat je minimaal nog voor de 25ste moet hebben doorgevoerd.

  • Ga na of jouw bedrijf op grote schaal regelmatig of stelselmatig persoonlijke gegevens van EU-onderdanen verzamelt

Dit is de voornaamste reden die jouw bedrijf dwingt te voldoen aan de AVG. Ben je niet binnen de EU gevestigd en doe je geen zaken met bedrijven binnen de EU, dan heeft de AVG geen gevolgen voor jou. Doe je wel zaken met Europese bedrijven moet je voldoen aan de nieuwe regels. Verwerk je persoonlijke informatie van welke EU-burger dan ook, dan word je verplicht te voldoen aan de veiligheidseisen van artikel 30 van de AVG, alsmede de andere eisen van de verordening.

  • Ga na waar je gevoelige data opgeslagen zijn

Het is essentieel te weten waar precies de gevoelige persoonlijke informatie op je systeem staat. Zonder dit te weten ben je verloren! EU-burgers hebben namelijk het recht hun opgeslagen gegevens permanent te laten verwijderen, dus je moet alle locaties kennen waar die data zijn opgeslagen en ze binnen een korte tijd kunnen wissen.

  • Zorg dat je persoonlijke data snel kunt vinden, wissen en wijzigen

EU-inwoners hebben ook het recht hun gegevens in te zien en daarom moet je in staat kunnen zijn snel onjuistheden te corrigeren, informatie te wissen en te stoppen met direct marketing met – en het automatisch verzamelen van – persoonlijke gegevens.

  • Kijk na of je IT-systemen en -processen ’privacy by design’ implementeren

In artikel 25 introduceert de AVG het concept van databeveiliging via technologiedesign en privacy-vriendelijke voorinstellingen. Dit concept gaat ervan uit dat dataveiligheid het beste bereikt kan worden als die al tijdens de ontwikkeling van een dataverwerkingsoperatie technologisch geïntegreerd is. Dit betekent dat het beter is om databeveiligingsmaatregelen in het IT-systeem en met de juiste organisatorische processen te integreren nog voordat het systeem voor de eerste keer gebruikt wordt.

Is dit niet mogelijk omdat je IT-systeem nog jaren meegaat, dan moet je de nodige technologische aanpassingen verrichten om de rechten en vrijheden van betrokkenen te waarborgen. In elk geval moet er bij het invoeren van een IT-systeem dat persoonlijke informatie verzamelt, opslaat of verwerkt nauwkeurig worden gekeken naar de privacyrisico’s van het systeem.

  • Zorg dat je IT-systeem een werkende wismethode heeft

Een van de hoofdzaken van de AVG is het recht op de eigen persoonsgegevens. Voor bedrijven betekent dit dat als er geen wettelijke verplichting of juridische grond meer is voor het verzamelen van persoonsgegevens, de voormalige partner, werknemer of klant kan eisen dat zijn gegevens verwijderd worden.

Zoals we al eerder hebben benadrukt moeten de precieze opslaglocaties van deze data te allen tijde bekend zijn. Verschillende data management services kunnen hierbij helpen. Zijn de data eenmaal gevonden moeten ze definitief verwijderd worden met behulp van professionele software zoals die van Blancco of Ontrack Data Recovery. Een van de belangrijkste voordelen is dat deze software niet alleen wisprocessen uitvoert van technisch hoge standaard, maar dat er indien later nodig ook een bewijs geleverd kan worden dat data permanent verwijderd zijn. Daarom is het logisch zo’n wismethode voor alle fases van het data management en al zijn IT-processen en -systemen te implementeren.

  • Stel een calamiteitenplan voor datalekken op

Zodra een datalek is ontdekt wordt het getroffen bedrijf onder de nieuwe wet verplicht dit door te geven aan de Autoriteit Persoonsgegevens. Een van de doelen van een calamiteitenplan is uit te zoeken wat de gevolgen van een datalek zijn en of er gevoelige informatie van EU-burgers in gevaar is gebracht. Daarnaast moet het plan maatregelen bevatten die snel kunnen worden toegepast om te beperken en te voorkomen dat er meer gevoelige data uitlekken.

En tot slot, als je dit nog niet gedaan hebt:

  • Stel een Data Protection Officer aan

Het is onder de AVG verplicht om een Data Protection Officer (DPO), of Functionaris voor de Gegevensbescherming (FG), aan te stellen indien:

– De organisatie die gegevens verwerkt een overheidsinstantie is (rechtbanken uitgesloten),

– Het bedrijf of de organisatie gegevens verwerkt die vanwege hun aard, omvang en/of doeleinden op grote schaal regelmatige en stelselmatige observatie van de betrokkenen vereisen,

– Het bedrijf of de organisatie grote hoeveelheden persoonlijke en gevoelige informatie verwerkt zoals data die ras, etniciteit, politieke standpunten, religieuze of filosofische overtuigingen, gezondheidsproblemen etc. onthullen, alsmede data met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Kort gezegd, grote ondernemingen moeten een DPO aanstellen. De voornaamste taak van een DPO is erop toezien dat in het bedrijf de juiste procedures in werking zijn voor de rechtmatige verwerking van data onder de AVG. Daarnaast moeten zowel de procedures als de huidige en nieuwe inkomende data continu gecontroleerd worden zodat het data management altijd binnen de wet valt.

Het duurt nu niet lang meer en dus moet je controleren of je bedrijf bovenstaande punten heeft verwerkt. De veel hogere boetes van de AVG, die kunnen oplopen tot 4 procent van de wereldwijde omzet, geven je geen keus zoveel mogelijk van tevoren na te gaan of je AVG-proof bent. Heb je iets uit de lijst nog niet gedaan dan moet je haast maken!