Checklist nieuwe privacywet (AVG) en personeel

Checklist nieuwe privacywet (AVG) en personeel Pixabay

Wat betekent de nieuwe privacywet (AVG) voor u als ondernemer? En voor uw personeel? Een overzicht met 9 belangrijke taken voor werkgevers.

Privacywet AVG

Per 25 mei 2018 geldt er een nieuwe wet voor alle landen in de EU: de Algemene verordening gegevensbescherming (AVG). De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR). De nieuwe wet geeft bedrijven een grotere verantwoordelijkheid om de privacy van personen te beschermen. De AVG gaat over de bescherming van persoonsgegevens. Dit omvat:

  • Klantgegevens
    Zorg dat uw personeel op een juiste manier omgaat met de gegevens van (potentiële) klanten.
  • Personeelsgegevens
    Zorg dat uw personeelsdossier voldoet aan de nieuwe eisen.
  • Andere persoonsgegevens
    Als uw bedrijf ook andere persoonsgegevens opslaat of beheert (zoals gegevens van leveranciers en relaties of databases van andere bedrijven) moet u voldoen aan deze regels.

Let op!

Organisaties die niet voldoen aan de AVG kunnen een boete krijgen van maximaal 20 miljoen euro.

Checklist AVG

Voldoet uw bedrijf aan de nieuwe privacywet? Gebruik deze checklist met 9 duidelijke taken voor ondernemers met personeel.

  1. Check of u gegevens mag verwerken
    U mag alleen persoonsgegevens opslaan en verwerken als u voldoet aan minimaal één van de grondslagen van de AVG. In de meeste gevallen moet je gewoonweg toestemming krijgen van de personen in kwestie. Voor 'bijzondere' en strafrechtelijke persoonsgegevens gelden weer extra eisen.
  2. Houd u aan de verantwoordingsplicht
    U moet kunnen aantonen dat uw organisatie aan de AVG voldoet. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht. Breng de gegevensverwerking van uw bedrijf in kaart. Schrijf op welke persoonsgegevens u verwerkt, met welk doel u dit doet, waar deze gegevens vandaan komen, waar u ze opslaat en met wie je ze deelt.
  3. Vraag op de juiste manier toestemming
    U moet kunnen aantonen dat personen toestemming hebben gegeven aan uw bedrijf om hun persoonsgegevens op te slaan. U moet die toestemming netjes vragen, op een duidelijke en ondubbelzinnige manier.
  4. Geef personen inzage en rechten
    Personen hebben het recht op inzage en het recht op correctie en verwijdering van hun gegevens. Zorg dat dit mogelijk is, bijvoorbeeld in een beveiligde online omgeving (portal). Als personen hun gegevens willen wijzigen, moet u de wijzigingen ook (automatisch) doorgeven aan de instanties waar je de gegevens mee hebt gedeeld.

    Uw personeel heeft ook het recht op inzage van hun gegevens. Dus als uw werknemer vraagt om zijn personeelsdossier, dan moet u hem laten zien welke persoonlijke gegevens u bewaart. U kunt hem ook een kopie geven van het dossier.
  5. Zorg voor dataportabiliteit
    U moet ervoor zorgen dat personen hun gegevens makkelijk kunnen opvragen en door kunnen geven aan een andere organisatie. Bijvoorbeeld bij de overstap naar een andere partij.
  6. Maak een data protection impact assessment (DPIA)
    Hiermee brengt u vooraf de privacyrisico’s in kaart van een bepaalde gegevensverwerking. Daarna neem u maatregelen om de risico’s te verkleinen. Lees meer over het maken van een DPIA en wanneer dit verplicht is.
  7. Stel een verantwoordelijke aan
    Zorg dat er iemand toezicht houdt op de gegevensverwerking volgens de AVG. Uiteindelijk bent u hier zelf verantwoordelijk voor als werkgever. In sommige gevallen bent u verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen binnen uw bedrijf.
  8. Houd u aan de meldplicht datalekken
    Deze meldplicht bestond al, maar u moet nu ieder datalek documenteren dat binnen uw bedrijf heeft plaatsgevonden.
  9. Zorg voor verwerkersovereenkomsten
    Als u de gegevensverwerking heeft uitbesteed aan een andere partij, zorg dan dat de overeenkomsten aangepast worden aan de nieuwe eisen van de AVG.
Tips