Het is nu bijna vier jaar geleden dat de Algemene verordening gegevensbescherming (‘AVG’) in werking trad. Organisaties dienden op de datum van inwerkingtreding – 25 mei 2018 – hun bedrijfsvoering met de beginselen en voorschriften uit de AVG in overeenstemming te hebben gebracht.
De Autoriteit Persoonsgegevens (‘AP’) kreeg bij overtredingen de bevoegdheid tot het opleggen van hoge boetes. Reden voor veel bedrijven destijds om AVG-teams samen te stellen en de verwerkingen van persoonsgegevens binnen de onderneming zorgvuldig door te lichten.
Toch kan het ook nu allerminst kwaad de vereisten en verplichtingen uit de AVG weer eens opnieuw aandacht te geven binnen uw onderneming. Klopt de inventarisatie van persoonsgegevensverwerkingen die binnen uw organisatie plaatsvinden nog en zijn het verwerkingsregister en uw privacy procedures nog wel up-to-date of moeten daarin inmiddels zaken worden aangevuld of gewijzigd? Zijn de getroffen beveiligingsmaatregelen nog passend of verdienen die gezien de huidige stand van de techniek inmiddels aanpassing?
Een zorgvuldige, veilige en AVG ‘compliant’ verwerking van persoonsgegevens verdient regelmatig aandacht en is een continu proces. FHI heeft op haar website een aantal standaard privacy documenten en voorbeelden ter beschikking gesteld die hierbij kunnen worden gebruikt.
Het privacy stappenplan geeft een overzichtelijke leidraad waarmee FHI-leden aan de slag kunnen om hun organisatie ‘AVG-proof’ in te richten en te houden.
- De inventarisatie van de verschillende persoonsgegevensverwerkingen die binnen een organisatie plaatsvinden en de rechtsgeldige grondslag die de organisatie daarvoor heeft, dienen te worden vastgelegd (of ge-update) in een gegevensverwerkingsregister. Ook daarvoor is een model op de website te vinden.
- Deze inventarisatie dient vervolgens als basis voor de verdere invulling van het privacy beleid en voor het voldoen aan de verplichtingen uit de AVG.
- Wanneer een grondige inventarisatie van de persoonsgegevensverwerkingen heeft plaatsgevonden, is het vervolgens relatief eenvoudig om privacy verklaringen op te stellen waarmee uw relaties en werknemers dienen te worden geïnformeerd.
- Tot slot geldt de inventarisatie als basis voor het opstellen of updaten van verschillende privacy procedures en geeft het handvatten voor het vastleggen van het binnen de onderneming geldende privacy beleid.
Mocht u naar aanleiding van dit bericht of de beschikbaar gestelde documenten verdere vragen hebben over de AVG en de verplichtingen die daaruit voor uw organisatie voortvloeien, dan kunt u contact opnemen met Lise van den Heuvel (06-234 922 48 / l.van.den.heuvel@vestius.com) van onze FHI-Advies partner Vestius Advocaten.