10 vragen die de Autoriteit Persoonsgegevens stelt bij een steekproef. Kan jouw organisatie meteen antwoorden?
Stel dat jouw organisatie volgende week onverwachts door de Autoriteit Persoonsgegevens (AP) wordt bezocht voor een steekproef… Kun jij dan deze 10 vragen beantwoorden die de toezichthouders in Duitsland momenteel stellen bij AVG steekproeven in het MKB?
1. voorbereiding op de AVG
Hoe heeft u zich als bedrijf voorbereid op de AVG?
Beschrijf (kort) de procedure, om welke gebieden het ging en welke maatregelen zijn genomen.
Indien nog niet alle maatregelen volledig ten uitvoer zijn gelegd, gelieve ook de stand van zaken met betrekking tot de tenuitvoerlegging toe te lichten.
2. lijst van verwerkingsactiviteiten
Hoe heeft u ervoor gezorgd dat al uw bedrijfsprocessen met betrekking tot de verwerking van persoonsgegevens zijn opgenomen in een register van verwerkingsactiviteiten?
Hoe zorgt u ervoor dat het up-to-date is?
Voeg een overzicht bij van uw gedocumenteerde procedures en een voorbeeldprocedure als voorbeeld.
3. toelaatbaarheid van de verwerking
Op welke wettelijke basis verwerkt u persoonlijke gegevens?
Als u ook persoonlijke gegevens verwerkt op basis van toestemming, voeg dan de door u gebruikte monsters bij.
4. rechten van de betrokkenen
Hoe zorgt u ervoor dat de rechten van de betrokkenen worden geëerbiedigd (informatie, openbaarmaking, rectificatie, verwijdering, beperking van de verwerking, overdraagbaarheid van gegevens)?
Schets uw processen op dit gebied en beschrijf in het bijzonder in detail hoe u aan uw informatieverplichtingen voldoet.
Gelieve eventuele bestaande voorbeeldinformatie bij te voegen.
5. technische gegevensbescherminga
Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen of die van uw dienstverleners een beschermingsniveau garanderen dat is afgestemd op het verwerkingsrisico?
Hoe zorgt u ervoor dat uw technische en organisatorische maatregelen worden aangepast aan de huidige stand van de techniek?
Hoe zorgt u ervoor dat u over een gedocumenteerde rol en autorisatieconcept beschikt voor de IT-toepassingen die u momenteel gebruikt of in de toekomst gaat gebruiken?
Hoe zorgt u ervoor dat er vanaf het begin rekening wordt gehouden met de vereisten inzake gegevensbescherming wanneer producten of diensten worden gewijzigd of nieuw ontwikkeld (Privacy by Design en by Default)
6. beoordeling van de gevolgen voor de persoonlijke levenssfeer
Hoe zorgt u ervoor dat verwerkingen die een groot risico voor de rechten en vrijheden van de betrokkenen inhouden, worden geïdentificeerd en dat zij worden onderworpen aan een beoordeling van de gevolgen voor de gegevensbescherming
Heeft u in uw bedrijf verwerkingsactiviteiten geïdentificeerd die waarschijnlijk een groot risico vormen voor de rechten en vrijheden van de betrokkenen? Welke? Voeg a.u.b. de relevante documentatie over de privacyeffectbeoordeling bij.
7. orderverwerking
Heeft u uw bestaande contracten met contractverwerkers aangepast aan de nieuwe regelgeving van de AVG?
Indien u gebruik maakt van modelcontracten, gelieve deze bij te voegen, en voeg bovendien een actueel voorbeeldcontract bij met een van uw verwerkers.
8. functionaris voor gegevensbescherming
Hoe is uw functionaris voor gegevensbescherming geïntegreerd in uw organisatie?
Welk bewijs van deskundigheid heeft hij?
9. rapportageverplichtingen
Hoe zorgt u ervoor dat uw bedrijf inbreuken op de gegevens tijdig aan de toezichthouder meldt?
Schets uw gerelateerde processen.
10. documentatie
Hoe kunt u aantonen dat u aan alle in de punten 2 tot en met 9 genoemde verplichtingen voldoet?
Als jouw organisatie meerdere vragen niet op korte termijn onderbouwd kan beantwoorden is er een groot probleem bij een steekproef van de Autoriteit Persoonsgegevens. Er moet kunnen worden aangetoond dat de organisatie minstens sinds 25 mei 2018 serieus professioneel bezig is met de Algemene Verordening Gegevensbescherming. Neem zo snel mogelijk contact op met een professionele privacymanager. Bijvoorbeeld PrivacyZone.