Checklist ter controle van de implementatie van de AVG 

Een (verwerkings)verantwoordelijke is degene die middelen en vooral het doel van een verwerking bepaalt. Je kiest ook (indirect) de middelen als je kiest om de verwerking bij een andere partij onder te brengen.

De Verwerkingsverantwoordelijke is degene die een melding moet doen bij de betrokkenen en/of de Autoriteit Persoonsgegevens als er een groot datalek is ontstaan.

Een Verwerker voert altijd de verwerking uit namens de verantwoordelijke. De Verwerker moet de persoonsgegevens, die hij verwerkt namens de verantwoordelijke, vernietigen of teruggeven aan de verantwoordelijke op het moment dat de samenwerking eindigt.

Maak een Stakeholdersanalyse.

Verschillende partijen, zoals klanten en leveranciers, stellen verschillende eisen aan uw organisatie op het gebied van privacybescherming en informatiebeveiliging. Er zijn misschien ook leveranciers aan wie u bepaalde eisen stelt. Door het maken van een overzicht van al deze partijen en hun eisen zorgt u er voor dat u grip houdt op alle partijen en de samenhangende eisen. Een dergelijke analyse heet een Stakeholderanalyse.

Stel een Verwerkingenregister op.

Het Verwerkingenregister is verplicht volgens artikel 30 van de AVG. Hierin dient u alle soorten verwerkingen die uw organisatie uitvoert, op een rij te zetten. Dit is verplicht voor de AVG, maar het helpt u direct een goed beeld te krijgen waar u binnen uw organisatie nu eigenlijk persoonsgegevens verwerkt.

Maak een risico analyse.

Het beveiligen van informatie, dus ook persoonsgegevens, kan alleen maar correct worden uitgevoerd op basis van risico’s. Denk bij deze risico’s niet alleen aan hackers, maar ook bijvoorbeeld aan brand, het niet voldoen aan wetgeving, of een falende leverancier.

Het ene risico heeft een grotere kans om zich voor te doen dan een andere, en andere risico’s kunnen misschien weer grotere schade veroorzaken. Door de risico’s inzichtelijk te maken, en getalsmatig uit te drukken, kunt u bepalen wat uw grootste risico’s zijn, en welke de kleinste. De grootste risico’s moeten als eerste worden aangepakt, de kleinste als laatste.

Stel een privacybeleid op.

Met een privacybeleid stelt u algemene regels voor uw organisatie op betreffende de privacybescherming. Met een beleid maakt u duidelijk, wat u belangrijk vindt, en hoe u vindt dat eventuele werknemers met persoonsgegevens moeten omgaan.

Werkt u alleen? Ook dan is een beleid belangrijk. U legt in het beleid vast, hoe u wilt omgaan met de persoonsgegevens die u in beheer hebt. Het opstellen van het beleid zorgt ervoor dat u even heel bewust bezig bent met verschillende aspecten van het onderwerp. Bovendien zorgt u voor een aantoonbare aandacht voor de privacy op het moment dat deze aantoonbaarheid noodzakelijk is. Door elk jaar het beleid even door te nemen, blijft u zelf ook bewust van eventuele veranderingen waar u rekening mee moet houden.

Stel een Datalekprocedure op, waarin u vastlegt wie u kunnen helpen als er een datalek optreedt. Ook legt u in een dergelijke procedure vast, wat u moet registeren, en wanneer u het lek moet melden aan de Autoriteit Persoonsgegevens en eventuele getroffen personen.

Als u onverhoopt te maken krijgt met een Datalek (gegevens komen op een plek waar ze niet horen, of gegevens raken verloren), dan bent u verplicht om uit te zoeken wat er precies gebeurd is, hoe het heeft kunnen gebeuren, welke (groepen van) personen hierdoor problemen kunnen krijgen, of u deze personen moet waarschuwen, en of u het datalek aan de Autoriteit Persoonsgegevens moet melden.

Om er voor te zorgen dat u in een dergelijke situatie geen belangrijke handelingen over het hoofd ziet, of veel tijd kwijt bent aan het uitzoeken wie u kunnen helpen, is het opstellen van een datalekprocedure uitermate verstandig.

Stel checklists in om grip te houden in de genoemde situaties. Vul de in-dienst-lijsten alsnog in voor al het huidige personeel.

Het is belangrijk om vast te stellen wie bij welke gegevens mag komen. Persoonsgegevens mogen alleen worden verwerkt door personen die vanuit hun functie daar bij mogen komen. U kunt in Excel een eenvoudig overzicht maken van alle systemen waar persoonsgegevens worden verwerkt, gecombineerd met personen of functies. Uw Verwerkingenregister kan u helpen te bepalen of u alle informatiebronnen hebt benoemd.

Maak een overzicht op functie voor toegang tot persoonsgegevens of informatiesystemen.

Aantoonbaarheid is voor de AVG belangrijk. Met de checklists voor personeel toont u aan dat u controleert bij nieuwe medewerkers of ze de veiligheid van uw organisatie niet in gevaar zullen brengen, dat ze de juiste gebruikersrechten krijgen, of ze sleutels of andere bedrijfsmiddelen krijgen. Als iemand uit dienst gaat, wilt u kunnen aantonen dat de gebruikersaccounts zijn verwijderd, en dat u alle fysieke dingen weer terug hebt gekregen.

Speciale aandacht moet u opnemen voor functies met bijzondere rechten, zoals een systeembeheerder. Deze bijzondere rechten kunnen vaak toegang geven tot veel meer persoonsgegevens en bedrijfskritische processen dan de gebruikelijke toegangsrechten.

Controleer voor iedereen of alleen de rechten zijn toegekend die hij of zij voor zijn functie moet hebben.

Nu u weet voor elke functie welke toegangsrechten moet hebben, kunt u ook voor alle werknemers en eventuele externe partijen controleren of iedereen wel de juiste rechten heeft. Over het algemeen hebben werknemers vaak niet te weinig, maar eerder te veel rechten. En dat is vanuit het standpunt van informatiebeveiliging niet wenselijk. Ieder moet precies die rechten hebben, die nodig zijn voor de werkzaamheden.

Laat elke werknemer en/of externe medewerker alsnog een geheimhoudingsverklaring tekenen.

Alle medewerkers, of ze nu werknemer zijn of extern ingehuurde krachten, moeten tekenen voor geheimhouding. Het is belangrijk dat iemand 'pijn' voelt bij het overtreden van het geheimhoudingsverbod, maar het hoeft geen dreiging van levenslang faillissement te zijn.

Bedenk welke maatregelen de afhankelijkheid kunnen verminderen. U kunt de afhankelijkheid misschien met deze persoon bespreken. In dat geval kunt u deze persoon ook vragen om een noodplan op te stellen voor het ongewenste geval van uitval.

Voor een organisatie is 'gegijzeld' worden door de afhankelijkheid van één persoon erg vervelend. Soms ontstaat die situatie, en hebt u gewoon tijdelijk geen keuze. Maar werk dan zo snel mogelijk naar een situatie waarin dit is opgelost. Het is goed om een dergelijke situatie te herkennen, te bespreken, en een actieplan op te stellen om zo snel mogelijk de afhankelijkheid te verminderen.

Maak een overzicht van leveranciers, de persoonsgegevens waar zij toegang toe hebben, welke eisen aan elk wordt gesteld, en waar de gegevens worden verwerkt.

Grip hebben op leveranciers is cruciaal voor een goede informatiebeveiliging. Welke persoonsgegevens ontvangen of beheren zij voor u, verwerken zij uw persoonsgegevens buiten de EU, gelden er aanvullende regels voor de beveiliging? Als u geen overzicht hebt, kunt u ook niet stelselmatig controle uitoefenen. Met een goed en eenvoudig overzicht is het relatief makkelijk grip te houden op al uw leveranciers.

Controleer in het overzicht van leveranciers, welke partij een verwerker voor u is.

Als een leverancier persoonsgegevens namens u verwerkt, dan is de kans groot dat deze leverancier een verwerker voor u is; er moet dan een verwerkersovereenkomst worden afgesloten.

Een privacy statement op uw website is een eenvoudige manier om te voldoen aan de verplichting om betrokkenen te informeren hoe u hun gegevens verwerkt.

De AVG stelt dat er voldoende transparantie moet zijn over de verwerking van persoonsgegevens. Mensen van wie persoonsgegevens worden verwerkt, moeten kunnen begrijpen wie, welke persoonsgegevens verwerkt, met welk doel, waar de gegevens worden verwerkt, en welke rechten zij kunnen uitoefenen.

Met deze verplichting geeft de AVG de burger weer een beetje controle terug over de eigen persoonsgegevens. Een privacy statement op een website is een eenvoudige en aantoonbare methode om de juiste informatie te delen aan betrokkenen. Met onze tools kunt u snel de verplichte onderdelen van de informatieverschaffing in uw privacy statement plaatsen of controleren.

Controleer aan de hand van uw risico analyse of u alle risico’s, ook op technisch gebied onder controle hebt.

Technische maatregelen ter bescherming van de persoonsgegevens dienen passend te zijn. Maar wat zijn nu passende maatregelen? Dat is per organisatie verschillend, en hangt onder andere af van de hoeveelheid informatie, de gevoeligheid er van, het aantal mensen dat toegang heeft tot de gegevens, etc.

Een praktische benadering van de term passende technische maatregelen is, om een goede risico analyse te maken, met daarin alle mogelijke risico’s die de informatie in uw beheer lopen. Indien u kunt constateren dat alle risico’s zijn behandeld, dan hebt u passende maatregelen genomen; over het algemeen zult u dan zowel technische als organisatorische maatregelen hebben moeten nemen.