Laatst geüpdatet op juli 27, 2023

Er worden nu namelijk strengere eisen gesteld aan het verzamelen en verstrekken van persoonsgegevens. Ook wanneer de overheid of andere organisaties gebruik maken van de door jou verzamelde gegevens, moet je opletten.

Voorkom dat je in grote problemen komt en houd je als onderneming aan de geldende eisen. Boetes kunnen anders oplopen tot wel € 20 miljoen!

Wil jij voorkomen dat je in de problemen komt? Lees dan verder voor onze AVG checklist: de 11 belangrijkste AVG To Do’s. Of doe direct onze gratis AVG Privacy Scan om de privacy valkuilen van jouw onderneming op te sporen.

checklist avg

De 11 belangrijkste AVG To Do’s

De nieuwe AVG stelt strenge eisen aan bedrijven die persoonlijke gegevens van klanten verzamelen en gebruiken. Voldoet jouw onderneming al aan de vernieuwde AVG eisen? Bekijk hieronder onze AVG checklist en ontdek waar je rekening mee dient te houden.

  1. Bekijk welke gegevens jouw bedrijf verzamelt en verwerkt
  2. Check of jouw bedrijf aan de AVG eisen voldoet
  3. Vermeld het doel van de verzamelde gegevens in een privacy beleid
  4. Vraag toestemming aan de betrokkenen voor het gebruik van persoonsgegevens
  5. Geef betrokkenen inzage in hun eigen persoonsgegevens wanneer zij dit vragen
  6. Voorkom dat anderen misbruik maken van de door jouw verzamelde gegevens
  7. Stel een DPO aan
  8. Leg alle informatie over de gegevens die je verwerkt vast in een register
  9. Bouw bescherming in de producten of diensten die je levert
  10. Train de personen die verantwoordelijk zijn voor het verzamelen en verwerken van gegevens
  11. Meld een data lek op tijd

1. Bekijk welke gegevens jouw bedrijf verzamelt en verwerkt

Verzamelt of verwerkt jouw bedrijf persoonlijke gegevens, zoals adressen en telefoonnummers? Breng dan alle processen in kaart om na te gaan of je dit allemaal volgens de regels van de AVG doet.

Let ook op welke persoonsgegevens je verzamelt en gebruikt. Voor sommige gegevens gelden aparte regels. Zorg dus dat je op de hoogte bent van welke gegevens je mag verwerken en voor welke doelen.

Naast de gegevens die jouw bedrijf intern verwerkt, dien je ook rekening te houden met welke gegevens jouw website verzamelt. Denk hierbij aan cookies die worden opgeslagen en web formulieren die worden ingevuld door bezoekers van de website van jouw bedrijf.

Volgende de AVG mogen gegevens namelijk alleen gebruikt worden wanneer ze noodzakelijk zijn voor een bepaald doel. Hier dien je uiteraard ook duidelijkheid over te geven.

avg checklist zzp

2. Check of jouw bedrijf aan de AVG eisen voldoet

Het is belangrijk om te checken of jouw bedrijf al helemaal voldoet aan de eisen van het AVG. Geen idee hoe jij dat aan moet pakken? Geen paniek, Ligo heeft speciaal voor de AVG een privacy scan ontwikkeld. Deze scan zoekt uit of jouw bedrijf voldoet aan de AVG-eisen en wat je moet doen als jouw bedrijf niet aan de AVG voldoet.

Doe onze gratis AVG Privacy scan en vind de privacy-gaten in jouw bedrijf. Ben je al helemaal AVG-proof? Gefeliciteerd, dan kan je zonder zorgen verder ondernemen! Kan je nog wel wat verbeteren aan privacy Fin je onderneming? Lees dan snel verder om te weten wat je moet regelen om aan de AVG te voldoen.

 

3. Vermeld het doel van de verzamelde gegevens in een privacy beleid

Een belangrijke ’to do’ onder de AVG is het hebben van een ‘privacy beleid’. Dit wordt ook wel een ‘privacy policy’ genoemd. Hierin stel je de personen waarvan jij persoonsgegevens verwerkt en verzamelt op de hoogte van wat je met hun gegevens doet.

Deze personen worden ook wel ‘betrokkenen’ genoemd. Daarnaast vertel je ze voor welk doel je hun gegevens verzamelt, waarom je dit mag doen en wat ze kunnen doen als ze dit niet willen. Want waar hebben betrokkenen recht op onder de AVG? Lees er meer over in ons informatieve artikel.

De AVG beschrijft zes situaties waarin jij persoonsgegevens mag verzamelen en verwerken:

  1. Met toestemming van de betrokkene(n). 
  2. Noodzakelijk om het contract uit te voeren. Bijvoorbeeld adresgegevens wanneer je producten bij iemand thuis wil bezorgen.
  3. Wettelijke verplichting. Bijvoorbeeld omdat de politie jouw hierom vraagt.
  4. Omwille van iemands gezondheid. 
  5. Noodzakelijk om een taak van algemeen belang of openbaar gezag uit te voeren. Bijvoorbeeld cameratoezicht in de binnenstad voor openbare veiligheid.
  6. Je een groot belang hebt bij de gegevens. Bijvoorbeeld om fraude tegen te kunnen gaan.

Wist je dat de Belastingdienst een boete van € 3.700.000,- heeft gekregen, omdat ze gegevens verzamelden terwijl ze dit niet mochten doen?

Het privacy beleid staat bij de meeste bedrijven gewoon online. Bij Ligo kan je snel en eenvoudig een privacy policy voor jouw website op maat opstellen en downloaden.

4. Vraag toestemming aan de betrokkenen voor het gebruik van persoonsgegevens

Eén van de situaties waarin jouw bedrijf persoonsgegevens mag verwerken, is wanneer jij toestemming hebt van de betrokkenen. De AVG stelt een aantal eisen aan het vragen van toestemming. Let hier goed op. Doe je dit niet? Dan riskeer je een boete.

De toestemming moet volgens de AVG:

  1. Vrijelijk worden gegeven. Je mag de betrokkene niet onder druk zetten om toestemming te geven.
  2. Specifiek zijn. Het moet voor de betrokkene duidelijk zijn voor welk doel jij toestemming vraagt.
  3. Geïnformeerd zijn. De betrokkene moet onder meer weten wie, waarvoor en voor welke gegevens hij of zij toestemming geeft.
  4. Ondubbelzinnig worden gegeven. De betrokkene dient een actieve handeling te verrichten voor het geven van de toestemming.

Download de gratis DGA gids en zie essentiële punten niet over het hoofd.

5. Geef betrokkenen inzage in hun eigen persoonsgegevens wanneer zij dit vragen

Betrokkenen hebben onder de privacywetgeving verschillende rechten. Denk bijvoorbeeld aan het recht op inzage van persoonsgegevens en het recht om persoonsgegevens makkelijk te kunnen opvragen en door te geven aan andere organisaties. Betrokkenen kunnen hiervoor verzoeken indienen. Zorg dat je hier op tijd op reageert.

Wist je dat de Stichting Bureau Krediet Registratie (BKR) een boete van € 830.000,- heeft gekregen, omdat zij geld vroegen wanneer mensen digitaal hun gegevens wilden inzien?

6. Voorkom dat anderen misbruik maken van de door jouw verzamelde gegevens

Een essentiële overeenkomst bij het verwerken van persoonsgegevens is de ‘verwerkersovereenkomst’. Hierin worden afspraken vastgelegd waaraan beide partijen zullen moeten voldoen.

Heeft een derde (externe) partij persoonsgegevens verwerkt die jij hebt verzameld? Bijvoorbeeld omdat jij deze hebt ingeschakeld voor het verwerken van de salarissen en daarbij onder andere de bankgegevens van jouw werknemers deelt. Dan ben jij verplicht om een verwerkersovereenkomst op te stellen.

In deze overeenkomst wordt vastgelegd hoe de derde partij – de verwerker – moet omgaan met de persoonsgegevens die jij als ‘verantwoordelijke’ hebt verzameld. Ook wordt hierin vastgelegd wat er moet gebeuren wanneer er gegevens uitlekken. Voor persoonsgegevens dient een verwerkersovereenkomst volgens de AVG aan een aantal specifieke eisen te voldoen.

Eisen die de AVG verder aan verwerkersovereenkomsten stelt, zijn onder andere:

  1. Betrokkenen hebben recht op inzage in de verwerking van hun gegevens;
  2. De verwerker verwijdert de gegevens als de verwerkingsdiensten zijn beëindigd;
  3. De verwerker helpt jou om een DPIA uit te voeren; en
  4. Je moet betrokkenen ervan op de hoogte stellen dat hun data met derden gedeeld kan worden.

Bij Ligo kan je binnen enkele minuten jouw verwerkersovereenkomst op maat opstellen en downloaden.

avg checklist vereniging

7. Stel een DPO aan

Ben jij een bedrijf dat veel persoonsgegevens verwerkt? Dan is het handig en soms zelfs verplicht om een ‘DPO‘ aan te stellen. Een DPO is een ‘Data Protection Officer’. In het Nederlands wordt dit de ‘Functionaris voor de Gegevensbescherming’ (FG) genoemd.

Hij of zij zorgt ervoor dat een bedrijf aan de eisen van de nieuwe privacywet voldoet. Hij of zij adviseert jou als ondernemer over de werking van de AVG. De DPO adviseert daarnaast over wat er gebeurt als je je niet aan de AVG houdt en hoe jvoorkomt dat je de AVG overtreedt.

Een DPO is ook degene die overleg voert met de Autoriteit Persoonsgegevens (AP) namens jouw bedrijf. Ten slotte komt een DPO erg goed van pas wanneer de AVG je verplicht een ‘Data Protection Impact Assessment’ (DPIA) uit te voeren.

Je gebruikt een DPIA om uit te zoeken of er privacyrisico’s zijn bij het verwerken van gegevens. Heb jij hoge privacyrisico’s? Dan kan je maatregelen treffen om die risico’s te verkleinen.

8. Leg alle informatie over de gegevens die je verwerkt vast in een register

Onder de AVG-wet is het verantwoorden van de verwerking van persoonsgegevens een belangrijk onderdeel.

Het gevolg hiervan is dat je in sommige gevallen verplicht een ‘register voor verwerkingen‘ moet opstellen. Hierin leg je alle informatie vast over de persoonsgegevens die jij verwerkt.

  1. Naam en contactgegevens van jouw bedrijf
  2. Wie de Functionaris voor de Gegevensbescherming is
  3. Voor welk doel je de gegevens verzamelt en verwerkt
  4. Van welke personen je de gegevens verzamelt en verwerkt
  5. Welke gegevens je verzamelt en verwerkt
  6. Aan wie de gegevens worden doorgegeven
  7. Of en wanneer je de gegevens gaat wissen
  8. Op welke manier je de gegevens beveiligd

Je moet dit register in ieder geval bijhouden als jouw bedrijf meer dan 250 werknemers heeft. Heb jij geen 250 werknemers in dienst? Dan kan het in de volgende gevallen voorkomen dat je alsnog een register voor verwerkingen moet bijhouden:

  1. Wanneer je structureel persoonsgegevens verwerkt. Bijvoorbeeld als je salarisadministratie of een klantenbestand bijhoudt. Vrijwel elke ondernemer verwerkt zulke gegevens en zal in dat geval dus een register voor verwerkingen moeten bijhouden.
  2. Als de persoonsgegevens die je verwerkt een hoog privacy risico hebben. Dit houdt in dat de rechten van personen wiens gegevens worden verwerkt kunnen worden beperkt.
  3. Als je bijzondere persoonsgegevens verwerkt. Denk hierbij aan gegevens over godsdienst of gezondheidsgegevens.

Vraagt de Autoriteit Persoonsgegevens om jouw register? Dan moet je dat ook daadwerkelijk kunnen laten zien. Zorg er ook voor dat de datakwaliteit hoog is. Houd de gegevens die jij behoudt en verwerkt dus up-to-date.

9. Bouw bescherming in de producten of diensten die je levert

Houd tijdens het ontwikkelen van jouw product of dienst al rekening met het beschermen van de persoonsgegevens die je gaat verzamelen of verwerken. Dit wordt ook wel ‘Privacy by Design’ genoemd.

Ontwikkel jij bijvoorbeeld een app? Richt deze app dan zo in dat de verzamelde gegevens na afloop van een bepaalde termijn automatisch worden verwijderd. Of zorg ervoor dat jij jouw werknemers de toegang tot bepaalde persoonsgegevens kan weigeren, door deze bijvoorbeeld te versleutelen met een wachtwoord.

Hanteer daarnaast privacy-vriendelijke standaardinstellingen. Zorg dat jouw klanten geen extra stappen hoeven te ondernemen om hun privacy meer te beschermen. Dit wordt ook wel ‘Privacy by Default’ genoemd.

Heb jij bijvoorbeeld een social media platform? Zorg dan dat nieuwe profielen automatisch besloten zijn, zodat gebruikers zelf kunnen kiezen of ze deze openbaar willen maken en niet andersom.

Een ander voorbeeld van Privacy by Default is de instelling waarbij standaard alleen de noodzakelijke cookies staan aangevinkt.

10. Train de personen die verantwoordelijk zijn voor het verzamelen en verwerken van gegevens

Kleine foutjes zijn snel gemaakt. Voorkom dat medewerkers of aangestelde derde partijen onnodig fouten maken en benadruk bij hen het belang van de privacywetgeving.

Ga ook na of je deze personen weten hoe zij aan de AVG moeten voldoen en organiseer eventueel trainingen.

11. Meld een datalek op tijd

Je moet er natuurlijk voor zorgen dat de data die jouw bedrijf verzamelt en verwerkt goed beveiligd is en dat jouw onderneming zich aan alle regels van de AVG houdt. De To Do’s uit deze blog helpen t je daarbij. Gaat er nu toch nog iets mis en ontstaat er een ‘datalek’? Dan heb jij een meldplicht.

Dit is het geval wanneer er persoonsgegevens terechtkomen bij een persoon die deze niet zou mogen zien. Of wanneer de gegevens per ongeluk worden gewist of gewijzigd. Bijvoorbeeld omdat jouw bedrijf is gehackt of omdat een werknemer een adressenlijst naar de verkeerde persoon heeft gemaild.

Volgens de AVG moet je elke datalek die in jouw bedrijf plaatsvindt zo snel mogelijk melden. Doe dit uiterlijk binnen 72 uur bij de Autoriteit Persoonsgegevens en bij de personen waarvan de gegevens gelekt zijn.

Wist je dat Uber een boete van € 600.000,- heeft gekregen voor het niet op tijd melden van een datalek?

Telefonisch overleggen over jouw situatie?

Vragen over de AVG? Ligo helpt je verder!

De AVG brengt veel onduidelijkheid met zich mee. Dat is ook niet raar voor een document van 88 pagina’s aan complexe Europese wetgeving. Bij Ligo kunnen wij jou met onze privacy specialisten helpen om helemaal privacy proof te zijn onder de AVG.

Als je naar aanleiding van dit blogartikel vragen hebt, neem dan gerust contact met ons op. Wij helpen je graag verder!

Wendy Bogers
Laatste berichten van Wendy Bogers (alles zien)