Checklist AVG / GDPR / Privacy Wetgeving
Stap voor stap hoe het werkt
Bedrijven en organisaties die persoonsgegevens verwerken krijgen meer verplichtingen. Zij moeten aan kunnen tonen dat zij zich aan de wet houden.
Om je volledig in te lezen rondom het onderwerp, raden we onderstaande aan:
- Lees het artikel over AVG / GDPR bij Melis GS.
- Lees onder andere de informatie over de nieuwe wetgeving op de website van Autoriteit Persoonsgegevens.
- Verdiep je verder in de GDPR wetgeving
Checklist AVG/GDPR
1. SSL op je website
Alle sites moeten alleen nog via https bezocht kunnen worden (sites zijn dan bovendien significant sneller omdat er van HTTP/2 gebruik gemaakt wordt).
Technisch gezien is een SSL verbinding enkel van toepassing voor pagina’s waar privacy gevoelige informatie wordt verwerkt, zoals bijvoorbeeld een contactpagina. Om praktische redenen en zoekmachine-technische redenen raden we absoluut aan om jouw website volledig van SSL te voorzien. Als je hier hulp bij nodig hebt kun je contact opnemen.
2. Privacy pagina
Het is van belang als bedrijf een pagina op je site te hebben waar je laat zien welke data je verwerkt en waarvoor.
3. E-mail veilig verbinden
Zorg dat e-mail enkel nog beveiligd opgehaald en verstuurd wordt. Je email via SSL verbinden is tegenwoordig een must, aangezien bij non-SSL verbindingen alle data op hetzelfde lokale netwerk volledig uit te lezen is voor anderen. Wanneer je gebruik maakt van onze aanbevolen email instellingen, voldoe je hieraan. Zo zijn al onze hostnames voorzien van SSL certificaten die wij veilig en professioneel beheren.
4. Verwerkersovereenkomst
Zorg dat je ondertekende verwerkersovereenkomsten hebt met Melis GS en andere gegevensverwerkers die van toepassing zijn.
5. Overige zaken
Waar moet je verder rekening mee houden?
- Er staan flinke boetes op overtredingen van deze wet. Indien de Autoriteit Persoonsgegevens vaststelt dat een bedrijf of organisatie zich niet aan de weg houdt kunnen er boetes opgelegd worden tot 4% van de jaaromzet of maximaal 20 miljoen Euro.
- De rechten van betrokkenen worden veel sterker. Zij moeten eenvoudig de gegevens die over hen bewaard worden kunnen inzien, corrigeren en hebben ook recht op verwijdering. Mensen moeten ook gemakkelijk gegevens kunnen krijgen en doorgeven aan wie zij willen.
- Het bijhouden van een register van verwerkingsactiviteiten is verplicht. Documenteer welke persoonsgegevens verwerkt worden en met welk doel dit gebeurt, waar deze gegevens vandaan komen en met wie ze gedeeld worden.
- Je klanten kunnen verplicht worden een Data Protection Impact Assessment uit te voeren. Dit is met name het geval indien de registratie gevoelige items bevat als bijvoorbeeld bankgegevens, seksuele geaardheid, godsdienst, gezondheidsgegevens. Uitlekken van deze gegevens zouden grote gevolgen kunnen hebben voor de betrokkenen.
- Privacy by design & Privacy by default. Privacy by design betekent dat bij het maken van een website al rekening wordt gehouden met de bescherming van de ingevoerde persoonsgegevens. Privacy by default betekent niet meer gegevens te vragen/registreren dan strikt noodzakelijk, bijvoorbeeld:
- een app die je aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
- op de website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
- als iemand zich op de nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
- Functionaris voor Gegevensbescherming. Bedrijven en organisaties kunnen verplicht zijn zo’n functionaris aan te stellen. Uiteraard mag dit ook vrijwillig.
- Toestemming. Let erop dat je moet kunnen aantonen dat mensen toestemming geven om hun gegevens op te slaan en te verwerken. Mensen moeten ook net zo gemakkelijk hun toestemming kunnen intrekken.