Hieronder staat een algemene checklist van actiepunten. We hebben ook links gezet naar de documenten van Smith&Doe die uw organisatie daarbij kunnen helpen.
Let op: we raden aan om ook altijd het Ebook te bestellen. Daarin staan de te nemen stappen uitgebreider omschreven.
Zorg dat de werkzaamheden worden aangepakt als een project. Er moeten meestal meerdere stappen worden genomen, die tijd kosten. Benoem zo nodig iemand die het project leidt en een team dat meehelpt.
Stel vast welke persoonsgegevens uw organisatie gebruikt (“verwerkt”). Maak een overzicht van de gegevens.
U kunt hiervoor onze tool Verwerkingsregister (Excel) gebruiken.
In ons blogbericht over het aanleggen van dit overzicht staat wat er verplicht in moet worden opgenomen.
Ga na of uw organisatie een Functionaris Gegevensbescherming moet benoemen.
Kijk hiervoor in het Factsheet FG.
Noot: in de privacyverklaring zullen de contactgegevens van de FG moeten worden opgenomen.
Ga na of er door uw organisatie zogenaamde “bijzondere persoonsgegevens” worden gebruikt.
Kijk in ons Factsheet Bijzondere Persoonsgegevens om dit na te gaan. In principe geldt een verbod om dit soort persoonsgegevens te gebruiken, tenzij er sprake is van een wettelijke uitzondering. Raadpleeg eventueel een jurist.
Hoewel het niet wettelijk verplicht is, raden wij aan om in het verwerkingsregister vast te leggen of er bijzondere persoonsgegevens worden gebruikt en zo ja, welke. Ook raden we aan om aan te geven op basis van welke wettelijke uitzondering de persoonsgegevens worden gebruikt.
Ga na of er binnen uw organisatie ook persoonsgegevens van kinderen – personen onder de 16 jaar – worden gebruikt.
Kijk in ons Factsheet Gegevens Kinderen voor meer informatie over welke specifieke regels hiervoor gelden. Neem de benodigde maatregelen om die regels op te volgen.
Hoewel het niet wettelijk verplicht is, raden wij aan om in het verwerkingsregister vast te leggen dat er persoonsgegevens van kinderen worden verwerkt.
Noot: als uw organisatie zich richt op kinderen moet de privacyverklaring worden afgestemd op hun niveau.
Bepaal waarvoor uw organisatie de persoonsgegevens verwerkt. Dit worden de “doeleinden” genoemd waarvoor uw organisatie de persoonsgegevens verwerkt.
Kijk in ons Dossier Doeleinden voor meer informatie over het vastleggen van de doeleinden.
Leg de doeleinden vast in het verwerkingsregister. Dit is wettelijk verplicht.
Zorg ook dat de toegang tot de persoonsgegevens (zowel intern als extern) wordt beperkt tot wat strik noodzakelijk is voor de vastgestelde doeleinden. Leg dit zonodig vast in een toegangsprotocol.
Noot: de doeleinden moeten ook worden vastgelegd in de privacyverklaring.
Ga na of uw organisatie niet te veel maar ook niet te weinig persoonsgegevens gebruikt.
Niet te veel:
Er mogen niet meer persoonsgegevens worden gebruikt dan nodig (noodzakelijk) is voor het doel waarvoor ze worden gebruikt.
Niet te weinig ("toereikend"):
Ook mogen er niet te weinig persoonsgegevens worden gebruikt. Dit betekent kort gezegd dat uw organisatie niet zo weinig informatie over de persoon mag hebben dat uw organisatie niet een juist of volledig beeld van hem of haar heeft. Dit gezien de doeleinden waarvoor de gegevens worden gebruikt.
Bijvoorbeeld: als een klant een factuur niet betaalt omdat hij de factuur inhoudelijk betwist, dan moet die inhoudelijke betwisting ook worden vastgelegd, anders krijgt u niet een volledig beeld van waarom de klant de factuur niet wil betalen.
Ga na of er voor ieder soort gebruik dat er van de persoonsgegevens wordt gemaakt een rechtsgrond is.
Kijk in ons Factsheet Rechtsgronden voor meer informatie. Ga daarmee ook na of de manier waarop toestemming wordt gevraagd voldoet aan de eisen die de AVG daar aan stelt.
Zonder een geldige rechtsgrond mag uw organisatie de persoonsgegevens niet verwerken.
Hoewel het niet wettelijk verplicht is, is het wel handig om de rechtsgronden in het verwerkingsregister vast te leggen.
Noot: de rechtsgronden moeten ook worden omschreven in de privacyverklaring. Als uw organisatie zich beroept op het zogenaamde “gerechtvaardigde belang” dan moet ook worden omschreven wélke gerechtvaardigde belangen dat zijn.
Ga na of er door uw organisatie gebruik wordt gemaakt van zogenaamde “uitsluitend geautomatiseerde individuele besluitvorming”, waaronder profilering. Als dit soort besluitvorming, waaronder profilering “rechtsgevolgen” heeft voor de persoon of het de persoon op een andere manier in aanzienlijke mate treft, dan gelden daar specifieke regels voor.
Kijk in ons Factsheet Profiling voor meer informatie hierover. In het factsheet staat ook welke regels gelden in deze situatie. Neem de benodigde maatregelen om die regels op te volgen.
Hoewel het niet wettelijke verplicht is, is het wel handig om het verwerkingsregister vast te leggen als er sprake is van uitsluitend geautomatiseerde individuele besluitvorming, waaronder profilering, waar de specifieke regels voor gelden.
Noot: in de privacyverklaring moet worden aangegeven of er gebruik wordt gemaakt van dit soort besluitvorming, wat het belang en de gevolgen daarvan zijn voor de betrokken personen en de logica erachter.
Ga na van welke andere organisaties uw organisatie persoonsgegevens ontvangt.
Hoewel het niet wettelijk verplicht is, raden we aan om in het verwerkingsregister vast te leggen van welke organisaties uw organisatie de persoonsgegevens ontvangt. Dit is de “herkomst” van de persoonsgegevens.
Noot: Voor de persoonsgegevens die u van een andere partij ontvangt, moet in de privacyverklaring worden aangegeven welke persoonsgegevens dat zijn en wat de herkomst (bron) daarvan is.
Ga na aan welke externe personen of partijen uw organisatie de persoonsgegevens doorgeeft.
Ga ook na welke externe personen of partijen in opdracht van uw organisatie handelingen verrichten met de persoonsgegevens, bijvoorbeeld het inzien, opslaan, verwijderen of doorgeven. Dit soort personen of partijen worden "verwerkers" genoemd.
Zowel personen of partijen die de persoonsgegevens voor eigen gebruik ontvangen, als verwerkers vallen onder het begrip “ontvangers”.
Leg in het verwerkingsregister vast welke soorten ontvangers er zijn. Dit is wettelijk verplicht.
Geef de gegevens niet zomaar door aan andere partijen. Als u twijfelt of u gegevens door mag geven aan een andere partij, neem dan contact op met een privacyjurist en vraag naar de mogelijkheden.
Sluit verwerkersovereenkomsten af met externe leveranciers (verwerkers).
Kijk voor meer informatie over verwerkers in ons Dossier Verwerkers.
U kunt hiervoor een verwerkersovereenkomst bestellen:
Verwerkersovereenkomst Dienstverleners AVG
Verwerkersovereenkomst Hosting AVG
Verwerkersovereenkomst Cloud AVG
Eenvoudige verwerkersovereenkomst ZZP-ers AVG
Is uw organisatie samen met een of meer andere externe partijen verantwoordelijk voor dezelfde set persoonsgegevens? Dat is het geval als u en die andere partij(en) bepalen dát de persoonsgegevens worden verwerkt, waarvoor dat gebeurt en hoe. In de privacywet wordt dit het “bepalen van het doel en de middelen” van de verwerking van de persoonsgegevens genoemd.
Met dit soort externe partijen moet een overeenkomst worden gesloten.
U kunt hiervoor een Overeenkomst Verantwoordelijken bestellen.
In het verwerkingsregister moeten de naam en contactgegevens van de andere verantwoordelijken vast worden gelegd. Dit is wettelijk verplicht.
Noot: in de privacyverklaring moet worden aangegeven aan welk partijen, of als dat niet kan, aan welk soort partijen de gegevens worden doorgegeven. Dat geldt niet alleen voor andere marktpartijen en andere verantwoordelijken, maar ook bewerkers, overheidsinstanties en groepsmaatschappijen.
Ga na waar de persoonsgegevens worden opgeslagen, daarmee bedoelen we: in welk(e) land(en).
Ga dit na bij uw IT-dienstverleners en andere verwerkers waar zij gevestigd zijn en waar zij de persoonsgegevens opslaan. Controleer dit ook voor internetapplicaties waar persoonsgegevens in worden verwerkt (ingevoerd en/of geupload): welke partijen bieden deze aan? Waar slaan zij de persoonsgegevens op?
Ga ook na vanuit welk(e) land(en) personen toegang hebben tot persoonsgegevens, als dat bijvoorbeeld via het internet is.
Ga na of de persoonsgegevens worden opgeslagen door, doorgegeven aan of toegankelijk zijn voor partijen die zich buiten de EER (op dit moment de EU landen, Noorwegen, Liechtenstein en IJsland) bevinden.
In principe geldt er een verbod om persoonsgegevens door te geven naar buiten de EER. Maar in de wet staan uitzonderingen. Kijk hiervoor in het Factsheet Dataexport.
Neem als dat nodig is, maatregelen om te zorgen voor geldige doorgifte naar buiten de EER. Eén van de mogelijk maatregelen is het afsluiten van een "Modelcontract van de EU".
U kunt bij ons een Modelcontract van de Europese Unie bestellen.
Het is wettelijk verplicht om in het verwerkingsregister vast te leggen dat persoonsgegevens naar buiten de EER worden doorgegeven, naar welk land en als de persoonsgegevens worden doorgegeven op basis van zogenaamde "bijzondere omstandigheden" (kijk voor een uitleg hierover in ons Factsheet Dataexport), de relevante documenten met betrekking tot de passende waarborgen.
Noot: in de privacyverklaring moet ook worden aangegeven of de persoonsgegevens worden doorgegeven naar buiten de EER en welke "passende waarborgen" er zijn voor doorgifte.
Verplicht de eigen medewerkers die met de persoonsgegevens werken tot geheimhouding daarvan en het alleen verwerken van de persoonsgegevens in het kader van hun werkzaamheden.
U kunt hiervoor een Geheimhoudingsverklaring bestellen.
Zorg dat de gegevens juist, compleet en up to date zijn. Dit is vooral relevant bij databases met persoonsgegevens.
Zorg dat de gegevens niet langer worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Als uw organisatie veel persoonsgegevens verwerkt, is het aan te raden om bewaartermijnen protocollen te maken.
De AVG schrijft voor dat in het verwerkingsregister, “indien mogelijk” de bewaartermijnen moeten worden opgenomen.
Noot: in de privacyverklaring zal moeten worden aangegeven hoe lang de gegevens worden bewaard of wat de bewaarcriteria zijn.
Voer, als dat verplicht is, privacy impact assessments (PIA’s) uit.
Ga met ons Factsheet PIA’s na wanneer PIA’s verplicht zijn.
Hoewel het niet wettelijk verplicht is, raden we aan om in het verwerkingsregister aan te geven of er een PIA is uitgevoerd voor de betreffende “stroom” persoonsgegevens.
Neem, (kort gezegd:) waar dat mogelijk en toepasselijk is, passende technische en organisatorische maatregelen om “privacy by design” en “privacy by default” toe te passen op de “stromen” persoonsgegevens.
Privacy by design houdt kort gezegd in dat uw organisatie onderzoekt op welke manier de privacyregels feitelijk en technisch kunnen worden toegepast en welke maatregelen kunnen worden genomen om de rechten van de betrokken personen te beschermen.
In de AVG worden als voorbeelden gegeven: pseudonimiseren en het minimaliseren van de hoeveelheid persoonsgegevens.
Privacy by default houdt kort gezegd in dat uw organisatie technische en organisatorische maatregelen neemt om te zorgen dat alleen persoonsgegevens worden gebruikt die noodzakelijk zijn voor de doeleinden waarvoor ze worden verzameld. Dit slaat op de hoeveelheid persoonsgegevens, de omvang van het gebruik en hoe lang de persoonsgegevens worden opgeslagen.
De AVG noemt als voorbeeld dat persoonsgegevens niet beschikbaar worden gesteld aan een onbeperkt publiek (bijvoorbeeld via het internet) zonder tussenkomst van de betrokken persoon.
Zorg voor passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen. De privacy-toezichthouder (de Autoriteit Persoonsgegevens) heeft hiervoor Beveiligingsrichtsnoeren gepubliceerd.
De AVG schrijft voor dat in het verwerkingsregister, “indien mogelijk” een algemene omschrijving moet worden gegeven van de beveiligingsmaatregelen.
Meld datalekken aan de privacy-toezichthouder (de Autoriteit Persoonsgegevens) en de betrokken personen om wiens gegevens het gaat, als dat moet.
We hebben hiervoor een Draaiboek Datalekken gemaakt.
Informeer mensen over wat u met de persoonsgegevens doet. Dit kan in een privacyverklaring.
We hebben een vragen-wizard ontwikkeld waarmee u een privacyverklaring kunt maken en bestellen. U download de privacyverklaring in een Word document. In dit document staan ook uitgebreide FAQ's over de privacyverklaring en een uitleg over hoe u de privacyverklaring zelf in de praktijk kunt gebruiken.
Hoewel het niet wettelijk verplicht is, raden we aan om in het verwerkingsregister aan te geven welke privacyverklaring er geldt voor de betreffende “stroom” persoonsgegevens, met waar mogelijk hyperlinks daarnaar toe.
Voldoe aan de rechten van de personen wiens gegevens u verwerkt.
Kijk voor meer informatie in ons Factsheet Verzoeken.
Zorg dat het recht op data-portabiliteit, ook wel: gegevensoverdraagbaarheid van de persoonsgegevens wordt gefaciliteerd. In bepaalde gevallen hebben de betrokken personen recht op overdracht van hun persoonsgegevens, kijk hiervoor in het Factsheet verzoeken.
Wij hebben een Draaiboek (protocol) Verzoeken Betrokkenen gemaakt die uw organisatie kan ondersteunen bij het in behandeling nemen van de verzoeken.
Noot: in de privacyverklaring moeten de rechten van de betrokkenen worden omschreven.
Maak de verschillende documenten om de privacy-compliance te ondersteunen. Zie de documenten die we hiervoor hebben genoemd, maar denk ook aan een beveiligingsbeleid en specifieke protocollen, zoals bijvoorbeeld een cameraprotocol, als er cameratoezicht wordt gebruikt.
Wij hebben ook een algemeen Privacybeleid om te gebruiken als basis voor het beleid dat uw organisatie voert met betrekking tot persoonsgegevens.
Met “processen inrichten” doelen we op het creëren van processen binnen de organisatie om de privacy-compliance te ondersteunen. Dit geldt vooral voor organisaties waar meerdere medewerkers werken.
Denk bijvoorbeeld aan de volgende processen:
- Proces rondom nieuwe projecten om te zorgen dat er een privacy-toets wordt gedaan;
- Proces bij nieuwe onderaannemers (bewerkers);
- Proces bij “uitsluitend geautomatiseerde individuele beslissingen”;
- Proces rondom kwaliteit van de gegevens;
- Proces rond datalekken;
- Proces rond het bewaren van persoonsgegevens;
- Proces rond het voldoen aan de verzoeken van betrokken personen, waaronder overdracht van de persoonsgegevens aan de betrokken persoon.
Richt een “intern loket” in waar de medewerkers van uw organisatie met hun privacy-vragen terecht kunnen. Met een “intern loket” bedoelen we het aanwijzen van een persoon die, of team dat privacy gerelateerde vragen van medewerkers binnen uw organisatie kan beantwoorden. Dit geldt voor organisaties waar meerdere medewerkers werken.
Maak de contactgegevens van het "interne loket" bekend binnen de organisatie.
Richt ook een “extern informatiepunt” in waar de betrokken personen terecht kunnen met vragen over hun persoonsgegevens.
Het is aan te raden om het informatiepunt ook de verzoeken van de betrokken personen in behandeling te laten nemen waarbij de betrokken personen hun “rechten” uitoefenen (zie punt 23).
De contactgegevens van het informatiepunt neemt u op in de privacy-verklaring.
Hierbij gaat het om het creëren van “awareness” binnen de organisatie over wat wel en niet met de persoonsgegevens mag worden gedaan en welke documenten er zijn om de privacy-compliance te ondersteunen. Dit geldt voor organisaties waar meerdere medewerkers werken.
Daarnaast zullen de medewerkers die met de persoonsgegevens werken moeten worden getraind op privacy-compliance, waar nodig op specifieke onderwerpen.
Wij geven in house trainingen. Neem contact op een vraag naar de mogelijkheden.
TIPS: