Afbeelding

Met het simpele stappenplan van doorKees, vanuit het oogpunt van een "verwerkingsverantwoordelijke", heb je een simpel overzicht van wat je geregeld moet hebben voor jouw privacybeleid.

Stap 1: Risicoanalyse

Waarom een risicoanalyse?

Met de risicoanalyse wordt vastgesteld of je voldoende technische en organisatorische maatregelen hebt genomen om de persoonsgegevens volgens de AVG richtlijnen te beveiligen. Vanuit de verantwoordingsplicht van de AVG moet je je kunnen verantwoorden voor de gegevens die je verwerkt. 

DoorKees kan zo'n risicoanalyse voor jou uitvoeren. Wij controleren met deze risicoanalyse niet alleen of jouw bedrijf de juiste privacymaatregelen al heeft ondernomen, wij geven ook aan welke specifieke vervolgstappen jouw bedrijf moet ondernemen om AVG-proof te zijn. DoorKees levert een rapport op waaruit dit blijkt. 

Stap 2: Verwerkersovereenkomst

Waarom en wanneer heb ik een verwerkersovereenkomst nodig?

Maak afspraken met de organisaties waarmee jij persoonsgegevens deelt en leg deze afspraken vast in een verwerkersovereenkomst. Heb je al een verwerkersovereenkomst met derden? Controleer dan of je met deze overeenkomst(en) voldoet aan de eisen van de AVG.

Voor elke externe partij waarmee jij de persoonlijke gegevens deelt en/of verwerkt van anderen moet je een verwerkersovereenkomst hebben. In deze overeenkomst moet in details beschreven staan wat er met de gegevens gebeurt (worden de gegevens verzameld, doorgestuurd, etc.). Vanuit de AVG-wetgeving is het verplicht om in het bezit te zijn van deze overeenkomsten omdat je onder andere degene wiens gegevens je verzamelt en de toezichthouder hiermee kunt informeren. 

DoorKees is een specialist in het opstellen en/of controleren van overeenkomsten, waaronder de verwerkersovereenkomst. 

Stap 3: Privacyverklaring

Wat is een privacyverklaring?

Met een privacyverklaring (ook wel privacybeleid of privacystatement genoemd) informeer je de personen van wie je persoonsgegevens verwerkt, met welk doel, wat je met deze gegevens doet, en hoelang je deze gegevens bewaart. 

Wat moet er in de privacyverklaring staan? 

De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet voldoen. De volgende gegevens moeten in ieder geval in de privacyverklaring zijn opgenomen: 

  • De (contact-)gegevens van de onderneming.
  • Welke persoonsgegevens de onderneming verwerkt.
  • De grondslag van de verwerkingen.
  • Of de persoonsgegevens worden gedeeld met derden.
  • Voor welke termijn de persoonsgegevens worden bewaard.

Stap 4: Interne procedures

Welke rapporten over de interne procedures van jouw privacybeleid zijn nodig?

De volgende vier punten zijn onderdeel van de interne procedures van jouw bedrijf. Hiermee beantwoord je belangrijke vragen aan de toezichthouder zoals waarom je de gegevens nodig hebt, wat er met de gegevens gebeurt in jouw bezit (de 'registratieplicht'), hoe lang je de gegevens bewaart, en hoe je de gegevens beveiligt. 

  • Rapport voldoen aan Privacy by design en Privacy by default
  • Register van verwerkingsactiviteiten
  • Rapport voldoen aan de bewaartermijnen
  • De DPIA (Data Protection Impact Assessment)

Zie de veelgestelde vragen voor meer uitleg over de individuele rapporten. 

Stap 5: Het AVG dossier

Wat hoort er in het AVG dossier te staan?

De AVG vereist dat je duidelijk aan kunt tonen in een rapport hoe je met de opgeslagen gegevens van gebruikers omgaat. Zo moet je als verwerkingsverantwoordelijke de volgende punten hebben opgeslagen in jouw dossier:

  • Privacyverklaring.
  • Eventuele verwerkersovereenkomsten.
  • Rapport voldoen aan Privacy by Design en Privacy by Default.
  • Register van verwerkingsactiviteiten.
  • Rapport voldoen aan de bewaartermijnen.
  • De DPIA (Data Protection Impact Assessment).

DoorKees biedt je een volledig pakket aan als verwerker, óf als verwerkingsverantwoordelijke. Zo wordt jou alles uit handen genomen. Simpel en compleet. Neem gerust contact met ons op.


Veel gestelde vragen

Op 25 mei 2018 trad de Algemene verordening gegevensbescherming (AVG) in werking. De meldplicht wordt in de AVG vervangen door een verantwoordingsplicht. Op grond van deze verantwoordingsplicht dient elke organisatie die persoonsgegevens verwerkt sinds 25 mei 2018 een intern register bij te houden van haar verwerkingsactiviteiten. Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Een organisatie is dan verplicht inzage te geven.  

Jouw onderneming moet zo privacy-vriendelijk mogelijk ingericht zijn. Dit houdt bijvoorbeeld in dat je jouw producten standaard moet instellen zodat geen gegevens worden opgeslagen van gebruikers wanneer dit niet noodzakelijk is. Om aan te tonen dat je aan deze eisen voldoet, kun je een rapport overleggen. DoorKees kan dit rapport voor jou opstellen. Het verschil is dat ‘privacy by design’ in de ontwerpfase plaatsvindt. Denk hierbij aan bijvoorbeeld hoe jij de verwerkte gegevens vanuit de technische kant opslaat. ‘Privacy by default’ betekent dat de standaardinstellingen zo privacy-vriendelijk mogelijk zijn. Dit heeft dus betrekking op het daadwerkelijk verwerken van de gegevens, niet het technisch ontwerp erachter.  

Wanneer er sprake is van een verhoogd privacyrisico in jouw onderneming, dan kun je verplicht zijn een DPIA uit te voeren. Dit houdt eigenlijk in dat je een rapport kunt overleggen waaruit blijkt dat je organisatie goed is ingericht voor het beveiligen van de persoonsgegevens met een verhoogd privacyrisico. Hierbij kun je bijvoorbeeld denken aan medische gegevens, maar ook bankgegevens. 

Wanneer je verwerkingsverantwoordelijke bent, dan ben je ook verplicht te voldoen aan de registerplicht. Dit houdt in dat je een register van verwerkingsactiviteiten moet opstellen. Uit dit register moet blijken welke persoonsgegevens je verwerkt, van welke categorieën mensen je deze persoonsgegevens verwerkt en aan wie deze persoonsgegevens worden verstrekt. 

Jouw onderneming moet voldoen aan de wettelijke bewaartermijnen. Dit houdt bijvoorbeeld in dat je jouw boekhouding zeven jaar moet bewaren. Persoonsgegevens mag je daarentegen slechts bewaren voor zolang het nodig is. Om aan te tonen dat je aan deze eisen voldoet, kun je een rapport opstellen en overleggen. DoorKees kan dit rapport voor jou opstellen.