Grote organisaties beschikken over interne deskundigen die de implementatie van de AVG projectmatig zullen aanpakken, of zij maken gebruik van externe deskundigen die naar behoefte worden ingehuurd. Voor hen is deze beschrijving vooral informatief – het geeft een globaal overzicht van de activiteiten die moeten gebeuren om de AVG te implementeren en aan de wetgeving te voldoen.
Kleinere organisaties in het MKB, ZZP-ers en verenigingen beschikken doorgaans niet over de benodigde kennis, maar daarnaast is uitbesteden van externe deskundigen veelal geen geschikte aanpak: Werkprocessen zijn niet of onvoldoende gedetailleerd beschreven. Om zijn opdracht naar behoren uit te kunnen voeren zal de externe deskundige een aanzienlijk tijdsbeslag leggen op de medewerker(s) van de organisatie om de benodigde informatie te verkrijgen. Hierdoor neemt diens productiviteit af en nemen de kosten van de implementatie toe. Daarnaast zal ook de ingehuurde deskundige niet goedkoop zijn. Er wordt dan ook vaak gekozen zelf aan de slag te gaan met de AVG. Dit betekent dat de benodigde kennis moet worden opgebouwd om vervolgens de implementatie uit te voeren.
In dit artikel wordt de implementatie van de AVG in acht logisch navolgbare stappen beschreven.
Bewustwording (1)
Om de AVG te implementeren en vervolgens de wettelijke bepalingen na te leven dient de organisatie bekend te zijn met de AVG. Dit geldt natuurlijk nadrukkelijk voor de medewerkers die de AVG implementeren en voor de medewerkers die met persoonsgegevens werken. Maar daarnaast is het ook van groot belang dat de verantwoordelijke leidinggevenden goed worden geïnformeerd.
Documenteren gegevensverwerking (2)
De AVG vereist het documenteren van alle gegevensverwerking van persoonsgegevens. Hierbij moeten ondermeer worden vastgelegd: de bron, welke gegevens het betreft, wie toegang heeft, hoe de gegevens worden opgeslagen, wie toegang heeft, welke bewerkingen worden uitgevoerd en welke beveiligingsmaatregelen van toepassing zijn. Vindt verwerking door of bij derden plaats, dan dient een verwerkingsovereenkomst te worden opgesteld.
Data Protection Impact Assessment (3)
In die gevallen waarin de gegevensverwerking een hoog privacy risico met zich mee kan brengen, zijn organisaties verplicht een zogenoemd Data Protection Impact Assessment (afgerond DPIA) uit te voeren. Om te bepalen of hier sprake van is heeft de werkgroep van de Europese privacy toezichthouders een lijst van negen criteria opgesteld. Wanneer twee of meer criteria positief worden beantwoord, is het uitvoeren van een DPIA verplicht.
Toestemming geven en intrekken (4)
Toestemming op persoonsgegevens te verwerken dient vrij, specifiek, geïnformeerd en ondubbelzinnig te worden gegeven. ‘Wie zwijgt, stemt toe’ waarbij vooraf aangevinkte vakjes worden gebruikt, is dus niet toegestaan! Gegeven toestemming dient op eenvoudige wijze en gratis te kunnen worden ingetrokken. Het is bijvoorbeeld niet toegestaan dit alleen per post of telefoon te kunnen doen. Verder moet kunnen worden aangetoond dat de toestemming daadwerkelijk is verstrekt, op welke wijze, wanneer en op basis van welke informatie.
Privacy by Design (5)
Privacy by Design betekent dat bij het ontwerpen van een product of dienst al rekening wordt gehouden met het goed beschermen van persoonsgegevens, dat niet méér gegevens worden verzameld dan nodig en dat de gegevens niet langer worden bewaard dan nodig.
Privacy by Default (6)
Privacy by Default betekent dat technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het te bereiken doel en dat niemand onnodig toegang krijgt tot de persoonsgegevens.
Functionaris voor gegevensbescherming (7)
De functionaris voor gegevensbescherming houdt toezicht op de toepassing en naleving van de AVG. Op grond van artikel 37 van de AVG is een FG in een drietal situaties verplicht en dient de FG middels een formeel aanmeldingsformulier bij de AP te worden aangemeld.
Meldplicht datalekken (8)
De AVG stelt strenge eisen aan het registreren van datalekken die zich hebben voorgedaan:
Alle datalekken dienen zorgvuldig te worden gedocumenteerd en in sommige gevallen te binnen 72 uur te worden gemeld aan de AP.