AVG-PROOF WORDEN? DIT ZIJN DE DOCUMENTEN DIE JE NODIG HEBT

Ben je net een bedrijf gestart of heb je tot nu toe weinig aandacht besteed aan privacy, maar wil je dit nu beter regelen? Dan kan het een uitdaging zijn om te achterhalen wat er precies van je organisatie wordt verwacht. De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan hoe organisaties persoonsgegevens verwerken en beveiligen. Een belangrijk onderdeel van deze wetgeving is dat je moet kunnen aantonen dat je voldoet aan de regels, en dat begint met de juiste documentatie. In deze blog leggen we uit welke documenten je nodig hebt om te voldoen aan de AVG, zodat je goed voorbereid aan de slag kunt gaan.

Om aan de AVG te voldoen, moet je een aantal essentiële documenten opstellen en bijhouden. Deze documenten helpen je niet alleen om aan de wettelijke verplichtingen te voldoen, maar bieden ook structuur en transparantie binnen je organisatie rondom de omgang met persoonsgegevens. Hieronder vind je een overzicht van de belangrijkste documenten die je nodig hebt.

AVG-proof ondernemen: welke documenten heb je nodig?

1. Verwerkingsregister

Een van de eerste stappen naar AVG-compliance is het opstellen van een verwerkingsregister. Dit register geeft een overzicht van alle verwerkingen van persoonsgegevens binnen je organisatie. Het opstellen van een verwerkingsregister is niet voor elke organisatie verplicht, maar wel in de volgende gevallen:

• Je organisatie heeft meer dan 250 personen in dienst.
• Je organisatie voert risicovolle verwerkingen uit (zoals automatische besluitvorming).
• Je verwerkt veel bijzondere persoonsgegevens (zoals medische of strafrechtelijke gegevens).
• De verwerking van persoonsgegevens is geen incidenteel onderdeel, maar structureel in je bedrijfsvoering.

Ook als je niet aan deze voorwaarden voldoet, is het aan te raden een verwerkingsregister bij te houden om inzicht te krijgen in de persoonsgegevens die je verzamelt.

In het verwerkingsregister leg je vast:

• Welke persoonsgegevens je verwerkt.
• Met welk doel je deze gegevens verwerkt.
• Wie de betrokkenen zijn (bijvoorbeeld klanten of medewerkers).
• Wie de gegevens ontvangt (zoals externe dienstverleners).
• Hoe lang je de gegevens bewaart.
• Welke beveiligingsmaatregelen je hebt genomen.

2. Privacy- en cookieverklaring

Een duidelijke en toegankelijke privacyverklaring is onmisbaar. Dit document legt uit hoe jouw organisatie omgaat met persoonsgegevens, welke gegevens je verzamelt, met welk doel, en welke rechten betrokkenen hebben en hoe zij die kunnen uitoefenen. Een privacyverklaring is een middel om te voldoen aan het transparantiebeginsel van de AVG. Zorg ervoor dat de verklaring in begrijpelijke taal is geschreven en beschikbaar is op je website.

Als je website cookies gebruikt, moet je ook een cookieverklaring opstellen. Deze kun je samenvoegen met de privacyverklaring. Hierin leg je uit welke cookies je gebruikt, waarom en hoe gebruikers hun cookie-instellingen kunnen beheren of cookies kunnen uitschakelen. Het is belangrijk om toestemming te vragen voor het plaatsen van niet-essentiële cookies, bijvoorbeeld via een cookiebanner.

3. Verwerkersovereenkomsten

Laat je persoonsgegevens verwerken door een derde partij, zoals een IT-leverancier of marketingbureau? Dan moet je een verwerkersovereenkomst afsluiten. Hierin leg je vast hoe de derde partij met de gegevens omgaat en welke beveiligingsmaatregelen worden genomen om te voldoen aan de AVG. Dit helpt je om ook de naleving door je verwerkers te waarborgen.

4. Data Protection Impact Assessment (DPIA)

Voor verwerkingen die een hoog risico vormen voor de rechten en vrijheden van betrokkenen, is een Data Protection Impact Assessment (DPIA) verplicht. In een DPIA identificeer en beoordeel je de risico’s van de gegevensverwerking en bepaal je welke maatregelen nodig zijn om deze risico’s te beperken. Dit is vooral relevant bij grootschalige verwerkingen of het gebruik van nieuwe technologieën die aanzienlijke impact kunnen hebben op de privacy van individuen, zoals cameratoezicht.

5. Overige documentatie

Naast de bovengenoemde documenten kan het ook nuttig zijn om extra documentatie op te stellen, zoals:

• Privacybeleid voor medewerkers: Hierin geef je aan hoe je omgaat met de gegevens van je medewerkers en waarvoor je deze gebruikt.
• Procedure voor datalekken en verzoeken van betrokkenen: Leg vast hoe je omgaat met datalekken en hoe je verzoeken van betrokkenen (bijvoorbeeld om inzage of verwijdering van gegevens) afhandelt. Deze verzoeken en datalekken moet je vastleggen in aparte registers: het datalekkenregister en het register voor verzoeken en bezwaren.
• Bewaartermijnenbeleid: Stel een beleid op voor bewaartermijnen, zodat je voldoet aan het principe van opslagbeperking uit de AVG. Dit houdt in dat je gegevens niet langer bewaart dan noodzakelijk.

Met deze documentatie zorg je ervoor dat je goed voorbereid bent om te voldoen aan de AVG en dat je organisatie op een transparante en gestructureerde manier met persoonsgegevens omgaat.

Heb je hulp nodig bij het opstellen van de genoemde documenten of heb je vragen over privacy? Ons team van experts bij Meester en Meester staat voor je klaar. Je kunt ons bereiken via het contactformulier of stuur een e-mail naar info@meesterenmeester.nl. We zijn ook telefonisch bereikbaar op 088-0665002.