Wanneer mensen meer te weten komen over de AVG, is de eerste vraag die ze hebben: hoe te voldoen aan AVG? Heb ik echt een functionaris voor gegevensbescherming nodig? Heb ik dure consultants nodig?
Hoe te voldoen aan AVG:
1. Start met een register van de verwerkingsactiviteiten
Het eerste is om te beginnen met een overzicht van al uw dataverwerkingsactiviteiten. Elk bedrijf, elke organisatie, vereniging, ... heeft een overzicht of register van de verwerkingsactiviteiten nodig met categorieƫn van persoonsgegevens die worden verwerkt. Dit verwerkingsregister geeft u - en ook de toezichthoudende autoriteit - een overzicht van het soort persoonsgegevens dat u verwerkt, voor welk doel, hoelang het wordt opgeslagen, of het wordt doorgestuurd naar ontvangers enzovoort. Er is geen specifiek formaat nodig voor dit register, maar dit is het belangrijkste punt in hoe te voldoen aan AVG. (Artikel 30 AVG)
2. Maak contracten met uw verwerkers
Waarschijnlijk zult u verwerkers hebben die gegevens opslaan, kopiƫren, gebruiken of zelfs vernietigen omdat u hen dat hebt verteld, zoals uw hostingbedrijf, uw externe accountant, uw cloudopslagprovider, ... Aangezien u de controller bent en daarom verantwoordelijk voor de persoonlijke gegevens die u verwerkt, moet u ervoor zorgen dat uw verwerkers ook de gegevens beschermen en beveiligen op een AVG-compliant manier. Voor afzonderlijke services die u gebruikt, moet u een individueel contract sluiten met uw verwerkers. Voor massadiensten, dat wil zeggen cloudopslag, vindt u de algemene voorwaarden van de verwerker en moet u deze informatie aan uw documentatie toevoegen. (Artikel 28 AVG)
3. Controleer of een gegevensbeschermingseffectbeoordeling (DPIA) noodzakelijk is
Wanneer u uw registratie van verwerkingsactiviteiten uitvoert, moet u ook de technische maatregelen documenteren die u neemt om de gegevens te beveiligen en te beschermen - dit is ook hoe u aan AVG kunt voldoen. In het geval dat voor een activiteit een hoog risico is voor de persoonlijke rechten en vrijheid van de betrokken personen, dan moet u een risicobeoordeling doen voor deze verwerkingsactiviteit. Binnen deze DPIA moet er een risicoanalyse zijn met waarschijnlijkheid en impact van een datalek. U zult maatregelen moeten vinden om de waarschijnlijkheid en impact te verminderen, zodat het risico van de verwerkingsactiviteiten wordt geminimaliseerd. Als er nog steeds een hoog risico is, moet u de toezichthoudende autoriteiten op de hoogte stellen. (Artikel 35 AVG)
4. Controleer openbare verklaringen
Nadat u deze eerste drie stappen heeft uitgevoerd, heeft u veel informatie verzameld en gedocumenteerd. U heeft waarschijnlijk ontdekt op welke gebieden u teksten of verklaringen over gegevensverwerking mist om de benodigde transparantie en informatie aan uw klanten te bieden. U moet bijvoorbeeld uw website controleren op uw aangifte voor gegevensbescherming, op toestemming van cookies en naleving van eCommerce. Misschien moet u uw algemene voorwaarden bijwerken. (Artikel 13, 14 AVG)
Als u een klein bedrijf bent dat niet te maken heeft met gevoelige gegevens of geen profilering uitvoert, moet u dit nu doen - dit is het antwoord op hoe te voldoen aan AVG. U moet op zijn minst jaarlijks opnieuw evalueren of er wijzigingen zijn in uw verwerkingsactiviteiten of interne processen. In geval van wijzigingen moet u natuurlijk uw documenten bijwerken.