AVG-checklist: werkt uw bedrijf AVG-proof?

07 september 2021 - ABN AMRO

Leestijd: ca. 7 minuten

Voldoet uw bedrijf aan de AVG-wetgeving die sinds 2018 van kracht is? Controleer regelmatig of u nog werkt volgens de strikte richtlijnen en regels voor het verzamelen, opslaan en verwerken van persoonsgegevens. We delen een AVG-checklist die in tien stappen laat zien waar ondernemingen allemaal rekening mee moeten houden.

Boetes bij overtreden AVG-wetgeving

De Autoriteit Persoonsgegevens mag bedrijven die niet AVG-proof – ofwel in lijn met de AVG-wetgeving – werken een boete opleggen. Die boete kan oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet. Zowel gebruikers, klanten als andere bedrijven kunnen meldingen doen als ze een overtreding vermoeden. Voorkom dat uw bedrijf per ongeluk niet voldoet aan de eisen die de wet stelt.

De autoriteit kan boetes opleggen voor twee soorten overtredingen:

  • Boete voor niet nakomen AVG-verplichtingen;

  • Boete voor overtreden AVG-beginselen of grondslagen.

Boete voor niet nakomen AVG-verplichtingen

Bedrijven die persoonsgegevens verwerken hebben onder de AVG-wetgeving een verantwoordingsplicht. Komt een bedrijf die verplichting niet na? Dan kan de AP een boete opleggen tot tien miljoen euro, of twee procent van de wereldwijde omzet.

Boete voor overtreden AVG-beginselen of grondslagen

Schendt een bedrijf de privacyrechten van gebruikers, klanten of andere betrokkenen? Het is dan een overtreding van de AVG-beginselen of grondslagen en zoals reeds aangegeven, kan de boete in dat geval oplopen tot maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet.

Mijn bedrijf AVG-proof maken: complete checklist

Gebruik onze AVG-checklist om AVG-proof te werken. Doorloop de checklist als u een bedrijf start en persoonsgegevens gaat verwerken. Of herhaal de checklist bijvoorbeeld ieder jaar, om te voorkomen dat het privacybewustzijn ongemerkt afneemt en het risico op een boete toeneemt.

  1. Houd zicht op alle verwerkingen

  2. Controleer de grondslag voor verwerking

  3. Maak (en houd) medewerkers privacybewust

  4. Garandeer privacyrechten

  5. Houd het verwerkingsregister up-to-date

  6. Verdiep u in de DPIA (Data Protection Impact Assessment, ofwel de gegevensbeschermingseffectbeoordeling)

  7. Ga uit van privacy by design en privacy by default

  8. Stel een FG (Functionaris Gegevensbescherming) of privacycontactpersoon aan. Dit is verplicht voor ondernemingen die privacygevoelige gegevens verwerken en voor ondernemingen met meer dan 250 medewerkers.

  9. Bereid voor op het handelen bij datalekken

  10. Houd grip op uw gegevensverwerkers (derden die gegevens voor u verwerken)

1. Houd zicht op alle verwerkingen

Welke gegevens verwerkt de onderneming? Het type gegevens dat wordt verwerkt bepaalt hoe u daarmee moet omgaan. En aan welke AVG-regels u zich moet houden.

Tip: controleer of er sprake is van ‘bijzondere persoonsgegevens’. De verwerking daarvan is in de meeste gevallen verboden.

2. Controleer de grondslag voor verwerking

Bedrijven mogen persoonsgegevens verwerken als ze daarvoor een grondslag hebben. Dat is bijvoorbeeld het geval als de gegevens noodzakelijk zijn voor de uitvoering van een overeenkomst. De Autoriteit Persoonsgegevens gaat uit van zes verschillende grondslagen.

3. Maak (en houd) medewerkers privacybewust

Zorg dat alle medewerkers goed op de hoogte zijn van privacyregels. Breng de AVG-checklist en -regels onder de aandacht bij nieuwe medewerkers. Het is bijvoorbeeld verstandig om deze checklist ieder jaar met iedereen door te nemen. Dat voorkomt onduidelijkheden.

4. Garandeer privacyrechten

Hoe gaat uw bedrijf om met privacyverzoeken van klanten, gebruikers en andere betrokkenen? Bied ze de mogelijkheid om hun privacyrechten uit te oefenen. Zij hebben bijvoorbeeld het recht om inzage te krijgen in hun persoonsgegevens en om hun data mee te nemen naar een ander bedrijf (dataportabiliteit).

Let op: houd rekening met de bewaartermijnen voor data. Verwijder gegevens die niet langer noodzakelijk zijn.

5. Houd het verwerkingsregister up-to-date

Veel bedrijven zijn verplicht om een verwerkingsregister bij te houden. Zorg ervoor dat alle (nieuwe) verwerkingen in het register staan, om AVG-proof te blijven werken.

6. Verdiep u in de DPIA

In sommige gevallen moeten bedrijven een data protection impact assessment (DPIA) uitvoeren, voordat ze gegevens mogen verwerken. Controleer of dit is gebeurd en of het voor nieuwe verwerkingen opnieuw nodig is om dit te doen.

7. Ga uit van privacy by design

Bij het toepassen van privacy by design, wordt rekening gehouden met privacy – zowel technische als organisatorische maatregelen – rondom het (her)ontwerpen van producten, systemen en processen met als hoofddoel: de bescherming van persoonsgegevens optimaliseren. Denk hierbij aan dataminimalisatie, anonimisering, pseudonimisering, need-to-know, encryptie en het vermijden van ongestructureerde gegevens.

Voorkom dat uw bedrijf gegevens verzamelt, opslaat en beheert die niet noodzakelijk zijn. Vraag in een app bijvoorbeeld alleen de locatie van gebruikers als dat echt nodig is. En vraag niet meer gegevens dan nodig als iemand zich wil abonneren op een nieuwsbrief.

8. Stel een FG of privacycontactpersoon aan

Bepaal of uw bedrijf een Functionaris Gegevensbescherming (FG) moet aanstellen, bijvoorbeeld als de omvang en activiteiten van de organisatie veranderen.

Tip: is een FG voor uw bedrijf niet verplicht? Overweeg om vrijwillig een privacycontactpersoon aan te stellen.

9. Bereid voor op het handelen bij datalekken

Hoe gaat uw bedrijf om met een eventueel datalek? Bereid voor op een eventueel lek en andere beveiligingsincidenten die kunnen plaatsvinden. Richt processen in om snel te kunnen handelen en een datalek AVG-proof bij de Autoriteit Persoonsgegevens te melden.

10. Houd grip op gegevensverwerkers

Werkt u samen met gegevensverwerkers? Beoordeel of de overeengekomen maatregelen in de contracten AVG-proof zijn. Gebruik deze laatste stap in de AVG-checklist om te bepalen of de maatregelen in de praktijk worden nageleefd. U bent verantwoordelijk als een extern bedrijf een datalek veroorzaakt bij de bewerking of opslag van uw klantgegevens.

Opslaan van gegevens

Nog een belangrijk onderwerp binnen de AVG is gegevensopslag. Veel (Nederlandse) bedrijven gebruiken Amerikaanse clouddiensten om hun gegevens op te slaan, denk hierbij aan de diensten van Amazon (AWS) of Microsoft (Azure). Wanneer deze partijen niet voldoen aan de Europese privacywet, bestaat de kans dat u als afnemende partij de wet overtreedt. Voorafgaand aan het gebruiken van clouddiensten voor uw opslag van data, is het verstandig om te controleren of de aanbieder in kwestie voldoet aan de juiste wetgeving.

Doe de Cyberrisicoscan

Bent u in het verlengde van de AVG-checklist benieuwd naar de cyberrisico’s die uw onderneming loopt of wilt u weten hoe goed uw cybersecurity is? Via het blok aan de rechterzijde komt u terecht bij onze Cyberrisicoscan. Via deze handige en gratis tool ziet u snel wat de status van uw cybersecurity is.

Weten of u cyberrisico's loopt?

Ontdek binnen 5 minuten of uw cybersecurity op orde is en welke risico’s u mogelijk loopt.

Meer over de Cyberrisicoscan
Lees meer ondernemersverhalen en tips over Cybersecurity
Bekijk alle artikelen
Er zijn helaas geen artikelen beschikbaar over dit onderwerp.
Uw onderneming beschermen tegen cyberdreigingen?

Cyber Veilig & Zeker biedt complete cybersecurity voor het MKB, zodat veilig online zakendoen weer de norm wordt. Lees snel meer en ontdek hoe u gemakkelijk uw cyberrisico's verlaagt.

Lees meer