AVG – Ben jij er op voorbereid?
Ben jij voorbereid op de AVG wetgeving die er aan komt? Vanaf 25 mei zal de Algemene Verordening Gegevensbescherming (AVG; ook wel GDPR genoemd) in werking treden. Maar waar moet je nu op letten? In deze blog lees je belangrijke vragen die je jezelf kunt stellen om beter voorbereid te zijn.
Is mijn organisatie zich bewust van de AVG wetgeving?
Het is belangrijk dat je hebt nagedacht over hoe je je organisatie gaat inrichten om te voldoen aan de AVG wetgeving. Bedenk je goed waar je persoonsgegevens opslaat en hoe makkelijk deze te benaderen zijn binnen (en buiten) je organisatie. Maak een inschatting over de gevolgen van de AVG op je huidige bedrijfsprocessen en zorg ervoor dat het duidelijk is welke aanpassingen er gedaan moeten worden om aan de wetgeving te voldoen.
Wie? Waarom? Wanneer? Waar?
Loop met deze vragen langs alle persoonsgegevens die je hebt vastgelegd in je (CRM) systeem.
Wie?
Wie heeft toegang tot de persoonsgegevens binnen je organisatie? Een sales medewerker zou bijvoorbeeld niet persé hoeven te weten of een contactpersoon nieuwsbrieven wilt ontvangen, maar voor een marketing medewerker zou dit juist wél inzichtelijk moeten zijn.
Waarom?
Waarom heb je bepaalde persoonsgegevens opgeslagen? Vraag jezelf af of je echt moet weten of iemand getrouwd is of kinderen heeft. Het is verplicht om expliciet toestemming te krijgen van de contactpersoon om dit soort persoonlijke gegevens vast te leggen in je systeem. Daarnaast moet het gedocumenteerd worden. Met andere woorden: je moet kunnen aantonen dat je die gegevens mag vastleggen.
Wanneer?
Wanneer moet je bepaalde persoonlijke gegevens kunnen zien? Als je bijvoorbeeld persoonlijke notities hebt gemaakt van een contactpersoon, moet je dit dan altijd kunnen zien? Of alleen als je een bepaalde handeling hebt verricht waar je de persoonlijke notities voor kunt/moet gebruiken?
Waar?
Zijn de persoonsgegevens die je hebt opgeslagen maar op één systeem te benaderen? Of heb je die gegevens op meerdere plekken opgeslagen? In het kader van het recht (van betrokkenen) om gegevens aan te passen of te verwijderen, is het belangrijk dat het duidelijk is waar alle persoonsgegevens zijn opgeslagen. Zo kun je snel gehoor geven aan de wensen van betrokkenen/individuele personen.
Als opvolging hierop is het verstandig om jezelf de volgende vraag te stellen:
Welke rechten hebben betrokken personen na de ingang van de AVG?
Betrokken personen hebben met de AVG meer rechten op het gebied van hun persoonsgegevens. Zo hebben betrokkenen het recht op:
- toegang tot hun persoonlijke gegevens. Je moet als bedrijf alle persoonsgegevens kunnen verstrekken als een persoon daarom vraagt.
- het corrigeren van (fouten in) hun persoonsgegevens. Mocht de betrokkene zijn of haar gegevens willen corrigeren dan moet je dat als bedrijf direct kunnen doen.
- het verwijderen van al hun persoonsgegevens. Zorg er als bedrijf voor dat persoonsgegevens permanent verwijderd kunnen worden als een betrokkene daar om vraagt.
Stel jezelf de vraag in hoeverre je kan voldoen aan bovenstaande rechten van betrokkenen. Hoe makkelijk is het voor je organisatie om hieraan te voldoen?
Voldoe ik aan de aangescherpte meldplicht voor datalekken?
De meldplicht datalekken (ingegaan op 1 januari 2016) wordt onder de AVG strenger. Naast dat je verplicht bent om datalekken te melden, wordt het onder de AVG ook verplicht om alle datalekken te documenteren. Aan de hand van die documentatie moet je kunnen aantonen dat je aan de meldplicht hebt voldaan.
Stel jezelf en je organisatie deze vragen om goed voorbereid te zijn op de AVG wetgeving. Lees hier over de belangrijkste veranderingen die de AVG met zich meebrengt en hoe Microsoft zich met Dynamics 365 er op voorbereid heeft.