Maak uw organisatie AVG-proof: begin met een grondige inventarisatie

Persoonsgegevens mogen alleen maar worden verwerkt als wordt voldaan aan alle vereisten van de wet. De belangrijkste eisen zijn dat sprake moet zijn van:

• een geoorloofd doel dat ook helder en tijdig is medegedeeld aan de betrokkene;
• een grondslag voor de verwerking, bijvoorbeeld een wettelijke plicht, een overeenkomst, toestemming van de betrokkene of een gerechtvaardigd belang dat zwaarder weegt dan het privacybelang van de betrokkene;
• data-minimalisatie: verzamel en verwerk niet meer dan noodzakelijk is voor dat doel;
• subsidiariteit: als er andere, voor de betrokkene minder belastende, middelen zijn om het doel te bereiken dient daarvoor gekozen te worden;
• een passende organisatorische en technische beveiliging van de persoonsgegevens die u verwerkt.

U kunt alleen maar beoordelen of u aan deze eisen voldoet als u een helder en zo compleet mogelijk beeld heeft van wat u eigenlijk allemaal verzamelt en hoe u dat gebruikt. Het is dus verstandig een ‘nulmeting’ uit te voeren:

A. Ga per afdeling/functie na wat voor persoonsgegevens er verzameld c.q. verwerkt worden:

Bijvoorbeeld:

• uw afdeling sales verzamelt, verwerkt, heeft toegang tot:
  • NAW-gegevens van particuliere afnemers of contactpersonen
  • telefoonnummers
  • koophistorie
  • zoekgedrag op de website
  • andere informatie die door afnemers wordt medegedeeld
  • databestanden die van derden worden verkregen
• de ICT afdeling verzamelt, verwerkt, heeft toegang tot:
  • verkeersgegevens
  • surfgegevens
  • telefoongegevens
  • loggegevens inzake het systeemgebruik
  • loggegevens inzake de toegangscontrole
• Personeelszaken, etcetera

B. Ga vervolgens na wat voor verwerkingen er plaatsvinden ten aanzien van deze persoonsgegevens.

Bijvoorbeeld:

• De afdeling sales verwerkt alle informatie die zij over de (potentiële) klanten verzamelt in een Cliënt Management Systeem dat als een SaaS-oplossing wordt aangeboden door een derde.

C. Ga per verwerking na:

1. Voor welk doel worden/zijn de persoonsgegevens verzameld? Bijvoorbeeld het leveren van gevraagde diensten of goederen of het uitbrengen van offerte.
2. Is dat doel medegedeeld aan de betrokkenen of is het zo vanzelfsprekend dat de betrokkene verwerking voor dat doel kan verwachten?
3. Voor welke (andere) doel(en) worden de persoonsgegevens feitelijk verwerkt? Bijvoorbeeld het sturen van ongevraagde aanbiedingen.
4. Wat is de grondslag voor de verwerking en is deze nog actueel?
5. Op wat voor categorieën betrokkenen zien de persoonsgegevens?
6. Van wie ontvangt u de betreffende persoonsgegevens, waarvoor, op basis waarvan? Bijvoorbeeld van de (potentiële) afnemer zelf omdat hij een webformulier heeft ingevuld.
7. Wie heeft er binnen uw organisatie toegang tot welke persoonsgegevens en waarom?
8. Aan wie verstrekt u persoonsgegevens, waarvoor, op basis waarvan?
9. Hoe lang bewaart u de persoonsgegevens?
10. Geeft u persoonsgegevens door aan ontvangers in derde landen (buiten EU)? Zo ja, aan welke landen/organisaties en op welke basis?

Leg alle gegevens die uit de nulmeting volgen zo helder mogelijk vast in een verwerkingenregister, ook als u daartoe niet verplicht bent (in een latere blog zullen we op de registerplicht ingaan).

Na het doorlopen van de nulmeting heeft u een set basisgegevens van waaruit u verder kunt werken aan het AVG-proof maken van uw organisatie.

In onze volgende blog in de serie blogs over privacy zal nader ingegaan worden op datalekken.

• Met 10 tips klaar voor Algemene Verordening Gegevensbescherming
• Een datalek, wat moet ik ermee?
• Moet ik een Functionaris voor Gegevensbescherming aanstellen op grond van de AVG?
• Register voor verwerkingsactiviteiten onder de nieuwe AVG
• De AVG: Verwerkingsverantwoordelijke, Verwerker en Verwerkersovereenkomst
• De nieuwe privacyverklaring
• De AVG: Wat is een PIA en moet u daar iets mee?
• De AVG: Is uw beveiliging van persoonsgegevens op orde?