Deel 6.2: Stappenplan AVG

Om te voldoen aan de privacywet is het heel handig om een stappenplan te volgen. Dit zijn;

1.       Bewustwording

De medewerkers van de gemeente moeten op de hoogte zijn van de verschillende privacyregels. Er moet awareness gecreëerd worden en ze moeten weten dat de AVG een groot impact heeft op veel processen binnen de gemeente.

2.       Rechten van betrokkenen

De mensen waarvan de gegevens worden verwerkt hebben ook rechten. Zij hebben recht op inzage en recht op correctie & verwijdering. Dit houdt in dat het personeel hun data mogen inzien en ook mag er gecorrigeerd worden.

3.       Overzicht verwerkingen

De gegevensverwerkingen moeten duidelijk in kaart worden gebracht. De persoonsgegevens moeten gedocumenteerd worden op een overzichtelijke manier zodat er gelijk actie kan worden ondernomen als het moet.

4.       Data protection impact assesment (DPIA)

Het is verplicht om een DPIA uit te voeren onder de AVG. Een DPIA is een instrument om vooraf bepaalde privacy risico’s van een gegevensverwerking in beeld te brengen. Er kunnen dan maatregelen genomen worden om zo effectief mogelijk de risico’s te verkleinen.  

5.       Privacy by design en privacy by default

Privacy by design houdt in dat bij het ontwerpen van producten en diensten er goed gekeken wordt naar de bescherming van de persoonsgegevens.

Privacy by default houdt in dat er technische en organisatorische maatregelen genomen moeten worden om ervoor te zorgen dat alleen persoonsgegevens verwerkt worden die noodzakelijk zijn voor desbetreffend doel.

6.       Functionaris voor de gegevensbescherming

Organisaties kunnen verplicht zijn om een functionaris voor de gegevensverwerking aan te stellen. Dit moet onder de AVG.

7.       Meldplicht datalekken

De AVG stelt strenge eisen op met alles te maken heeft met datalekken. Alle datalekken moeten gedocumenteerd worden. De AP (autoriteit persoonsgegevens) controleert of dit wel is gedaan.

8.       Bewerkersovereenkomsten

Als de gegevensverwerking uitbesteed wordt aan een verwerker, moet er eerst beoordeeld worden of de overeengekomen maatregelen in bestaande contracten met de verwerkers nog steeds toereikend zijn en voldoen aan de eisen van de AVG.

9.     Leidende toezichthouder

Een organisatie die gevestigd is in meerdere landen of meerdere gegevensverwerkingen hebben in andere lidstaten hoeven onder één privacy toezichthouder zaken te doen.

10.    Toestemming

Bij sommige gegevensverwerkingen zijn er toestemming nodig van de betrokkenen. De manier waarop er toestemming vraagt is erg belangrijk, dit heeft strenge eisen. Het moet aantoonbaar zijn dat er toestemming is gegeven om persoonsgegevens te verwerken.