Smile
Terug naar hoofdmenu

Hoe AVG-proof is jouw organisatie? Doe de QuickScan!

Sinds begin 2016 is de aangescherpte Nederlandse privacy wetgeving (de Wpb) van kracht en vanaf mei 2018 neemt de Europese privacy verordening (de AVG) het stokje over.

Hoe AVG-proof is jouw organisatie? Doe de QuickScan!

Voldoet jouw organisatie al aan alle eisen die de AVG stelt?

Met deze gratis QuickScan krijg je snel zicht op het compliance niveau van jouw organisatie.

Doe nu de QuickScan

Deze voorbeeldvragen geven jou alvast een beeld van de inhoud van de quickscan

Is er in jouw organisatie een Data Protection Officer, Privacy Officer of Functionaris Gegevensbescherming aangesteld?

Organisaties die persoonlijke gegevens van meer dan 5000 data subjects (personen) per jaar verwerken en alle overheidsorganisaties, moeten een Data Protection Officer (afgekort DPO), Privacy Officer (PO) of Functionaris Gegevensbescherming (afgekort FG) aanstellen.
De DPO, PO of FG moet onafhankelijk zijn en zowel kennis hebben van Privacywetgeving, Informatiebeveiliging als Risicomanagement.

Biedt jouw organisatie betrokkenen op verzoek op overzichtelijke wijze inzage in hun gegevens?

De AVG kent rechten toe aan personen van wie de gegevens worden verwerkt. Het inzagerecht biedt iedereen de mogelijkheid om te controleren of, en op welke manier, zijn gegevens worden verwerkt. Betrokkenen moeten hun persoonlijke gegevens kunnen opvragen in een voor hen begrijpelijk formaat. Zorg er dus voor dat de systemen waarin jouw organisatie persoonsgegevens verwerkt een makkelijk exportmogelijkheid hebben waarmee je de betrokkene snel het gevraagde inzicht kunt geven.

Informeert jouw organisatie de betrokkenen proactief over het feit dat gegevens van hen worden verwerkt?

Klanten en/of bezoekers moeten goed worden geïnformeerd over de (persoons)gegevens die worden verzameld worden en het achterliggende doel. Ook bewaartermijnen van (persoons)gegevens, contactgegevens van de organisatie en contactgegevens van de DPO, PO of FG moeten duidelijk worden vermeld. Voordat gegevens verwerkt mogen worden moet iemand expliciet op basis van volledige informatie akkoord geven. Voor kinderen jonger dan 13 jaar moet de voogd/ouder deze toestemming geven. Jouw organisatie moet kunnen aantonen dat deze toestemming daadwerkelijk gegeven is en de toestemming moet altijd weer ingetrokken kunnen worden. Zorg dus voor een gedegen privacy statement dat op de juiste plekken beschikbaar is (zoals op de website en in contracten).

Is er een actieve procedure voor het melden van datalekken beschikbaar?

In Nederland kennen we binnen de Wpb al de meldplicht voor datalekken. Ook in de AVG geldt dat een datalek binnen 72 uur aan de toezichthouder moet worden gemeld. De bewerker van de gegevens moet de verantwoordelijke altijd op de hoogte stellen van een datalek. Als het lek een potentieel hoog risico inhoudt voor de betrokkenen moeten ook zij van het lek op de hoogte worden gesteld. Onder de AVG hoeft er alleen nog maar een melding bij de toezichthouder gedaan te worden als het lek ook daadwerkelijk heeft plaatsgevonden (binnen de nu nog geldende Wpb moet dat ook al bij een vermoeden van een lek). Onder de AVG is de verwerkingsverantwoordelijke echter wel verplicht om alle ‘inbreuken’ (dus ook niet-melding plichtige) te documenteren. Een integraal meldsysteem is daarvoor zeer geschikt.

Ontdek hier de andere gratis QuickScans

Smile maakt gebruik van cookies om de website te verbeteren en jouw voorkeuren te onthouden.

man-logo