1 jaar AVG: er is nog werk aan de winkel

Op 25 mei 2018 trad de Algemene verordening gegevensbescherming (AVG) in werking. Dat is alweer een jaar geleden. Hoe gaat het nu in de praktijk met de naleving ervan? Gaat u regelmatig na of uw organisatie nog steeds voldoet aan de AVG-verplichtingen? De checklist van de Autoriteit Persoonsgegevens biedt ondersteuning.

Veel vragen

In de praktijk leven er nog veel vragen over de nieuwe privacywet. Het afgelopen jaar hebben 27.000 mensen de Autoriteit Persoonsgegevens (AP) telefonisch benaderd over de privacywet. Daarnaast kreeg de AP in 2018 ruim 11.000 klachten over vermoedelijke privacyschendingen. In 2019 waren dat er tot 1 mei 9.000, aldus de AP.

Stijging datalekmeldingen

Ook het aantal datalekmeldingen is enorm gestegen. De AP ontving in 2018 bijna 21.000 datalekmeldingen, tegenover 10.009 in 2017. Op 1 mei 2019 stond de teller op bijna 8.000 meldingen. Ook het aantal wetten dat kan leiden tot een verwerking van persoonsgegevens is hoog (2018: 82, 2017: 28).

Gezond privacybeleid

En hoe zit het in uw organisatie? Heeft uw organisatie de afgelopen tijd verzoeken ontvangen van mensen die hun privacyrechten willen uitoefenen? En hoe snel en volgens de regels zijn die afgehandeld? Zijn uw processen op orde? Houdt uw organisatie zich aan de bewaartermijnen?

Grip op persoonsgegevens

Gehoor geven aan mensen die een beroep doen op hun rechten is een belangrijk onderdeel van een gezond privacybeleid. Dat draagt immers bij aan het vertrouwen van mensen in uw organisatie.
Controleer daarom regelmatig of uw organisatie op de juiste manier gehoor geeft aan klanten die een beroep doen op hun privacyrechten. Want privacybescherming is een continu proces.
De checklist van de Autoriteit Persoonsgegevens helpt u een handje.

Checklist

Met de checklist kunt u toetsen of uw organisatie (nog steeds) aan de AVG-verplichtingen voldoet. En indien nodig kunt u actie ondernemen.

  1. Heeft u zicht op alle verwerkingen?
  2. Het type gegevens dat uw organisatie verwerkt, heeft consequenties voor de manier waarop u die moet beschermen. En aan welke AVG-regels u zich moet houden. Ga bijvoorbeeld na of u geen bijzondere persoonsgegevens verwerkt, waarvoor geen toestemming is.
  3. Heeft u nog steeds een grondslag? U mag alleen persoonsgegevens verwerken wanneer u daarvoor een grondslag heeft. Ga daarom na of dat voor al uw verwerkingen zo is.
  4. Zijn bestaande én nieuwe medewerkers goed op de hoogte van de privacyregels? Zij spelen immers een belangrijke rol in het privacyproof houden van uw processen, diensten en producten.
  5. Tip: onderzoek of het nodig is om (bepaalde) AVG-regels extra onder de aandacht te brengen.
  6. Ga na of uw organisatie de afgelopen tijd verzoeken heeft ontvangen van mensen die hun privacyrechten willen uitoefenen. En of die snel en volgens de regels zijn afgehandeld. Zijn uw processen op orde? Ga ook na of uw organisatie zich aan de eigen bewaartermijnen houdt. Verwijder gegevens die u niet langer nodig heeft.
  7. Is uw overzicht met verwerkingen nog up-to-date? Vaak bent u onder de AVG verplicht om een verwerkingsregister bij te houden. Controleer of alle (nieuwe) verwerkingen in het verwerkingsregister staan.
  8. Moet u een data protection impact assessment (DPIA) uitvoeren? Soms kunt u verplicht zijn om een DPIA uit te voeren voordat u mag starten met de verwerking. Ga na of u dat in de juiste gevallen ook heeft gedaan. En of het nodig is voor eventuele nieuwe verwerkingen waarmee u wilt beginnen. Heeft u al eens een DPIA uitgevoerd? En aan de hand daarvan maatregelen genomen om bepaalde privacyrisico’s te reduceren? Controleer dan of die maatregelen nog steeds voldoende zijn.
  9. Past uw organisatie de verplichte uitgangspunten van privacy by design en privacy by default goed toe in de praktijk? Bijvoorbeeld doordat:
    • een door u aangeboden app niet de locatie van gebruikers registreert als dat niet nodig is;
    • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf staat aangevinkt;
    • u niet meer gegevens vraagt dan nodig is als iemand zich op uw nieuwsbrief wil abonneren.
  10. Heeft u een functionaris gegevensbescherming (FG) of privacycontactpersoon? Ga na of uw organisatie verplicht is om een FG aan te stellen. Zeker wanneer de omvang en activiteiten van uw organisatie zijn veranderd.
  11. Kunt u snel reageren bij datalekken? Check of u bent voorbereid op een datalek. Hebben de afgelopen tijd bijvoorbeeld beveiligingsincidenten in uw organisatie plaatsgevonden? Zo ja, zijn de processen in uw organisatie zo ingericht dat er snel is gehandeld? Zijn datalekken op tijd bij de AP gemeld? En zijn ze goed gedocumenteerd?
  12. Is de gegevensverwerking uitbesteed aan een verwerker? Heeft u dan grip op uw verwerkers? Check of de afgesproken maatregelen in bestaande contracten met uw verwerkers nog steeds voldoende zijn en in de praktijk worden nageleefd.

Meer informatie

Lees de volledige checklist

Zojuist verschenen: Whitepaper ‘Compliance in een nieuw perspectief’

Bij compliance draait alles om het kennen én kunnen toepassen van de regels. Maar er is meer dan dat. In de nieuwe whitepaper van NIBE-SVV leest u hoe u kunt omgaan met compliancerisico’s. En wel op zo’n manier dat u niet alleen de wettelijke verplichtingen nakomt, maar ook uw hart volgt. 
Download de gratis whitepaper

Nieuw: training Compliance voor Financieel Adviseurs

Niet elk advieskantoor beschikt over een aparte compliance officer. Vaak heeft een van de medewerkers compliance als taak ‘erbij’. Speciaal voor hen heeft NIBE-SVV de training Compliance voor Financieel Adviseurs ontwikkeld. Op 24 september start weer een training.

Deel dit artikel
Wellicht ook interessant
Heb je vragen?
Onze opleidingsadviseurs zijn nu telefonisch bereikbaar. Op werkdagen van 08.30 tot 17.00 uur. WhatsApp van 10.00 tot 16.00 uur.
Schrijf je in voor de Nieuwsbreak
Ontvang maandelijks het laatste nieuws uit de financiële sector en van NIBE-SVV in je mailbox.
Incompany mogelijkheden

Wil je met je team, afdeling of organisatie je kennis en vaardigheden vergroten? Volg samen een training uit ons uitgebreide aanbod. Ook maatwerk mogelijk!