Hierbij moet worden gekeken wat het doel van de verwerking is, of het noodzakelijk is voor het doel om de gegevens te verwerken en wat de (wettelijke) grondslag is voor het verwerken van deze persoonsgegevens. Deze verwerkingen worden opgenomen in het verwerkingsregister:
1. Het verwerkingsregister: in het verwerkingsregister zijn alle activiteiten van de onderneming opgenomen waarbij persoonsgegevens worden verwerkt. Denk hierbij aan gegevens over klanten van de winkel/webshop, maar ook personeel, cameratoezicht en cookies, nieuwsbrieven zijn opgenomen in het verwerkingsregister. Dit gaat in de basis over alle structurele verwerkingen van persoonsgegevens binnen de organisatie. Hier zijn dan ook de bewaartermijn, grondslag, opslagplaatsen en verwerkers in opgenomen.
Aan de hand van het register kan worden bepaald met welke partijen een verwerkersovereenkomst moet worden gesloten. Schakel je een andere partij in om persoonsgegevens te verwerken? Dan moet er een verwerkersovereenkomst worden afgesloten. Dit is alleen zo als je de organisatie opdracht geeft persoonsgegevens te verwerken waarvoor jij verantwoordelijk bent.
2. Het sluiten van verwerkersovereenkomsten met verwerkers is een verplichting onder de Algemene Verordening Gegevensbescherming.
Ook kan aan de hand van de informatie in het register een privacy policy opgesteld worden. Hiermee geef je informatie over hoe je gegevens verwerkt binnen de onderneming en welke derde partijen er bijvoorbeeld ook kennis van kunnen nemen. Dit is een onderdeel van de verantwoordingsplicht waarmee je laat zien dat mensen goed worden geïnformeerd over de verwerking van hun persoonsgegevens.
3. In de privacy policy komt veel informatie uit het verwerkingsregister terug en geef je informatie over hoe jij gegevens verwerkt. De privacy policy plaats je op je website. Verder kan je er naar verwijzen op orderformulieren en in het bestelproces van de webwinkel.
Verder moeten er ook organisatorische en technische maatregelen worden genomen ter bescherming van persoonsgegevens. De Algemene verordening gegevensbescherming (AVG) vereist dat je ‘passende technische en organisatorische maatregelen’ moet nemen om persoonsgegevens te beschermen. Wat passend is hangt af van de organisatie. En van de kwetsbare onderdelen die er zijn geïnventariseerd. Er is dus niet één plan waarmee iedere organisatie gegarandeerd beveiligd is.
4. Organisatorisch: denk aan voorlichting richting personeel (zoals het afgrendelen van laptops, alleen gebruik maken van materiaal van werkgever, kasten afgrendelen). Ook het verstrekken van informatie over datalekken en wat wel en niet is toegestaan in het kader van de AVG vallen hieronder.
Technisch: denk hierbij bijvoorbeeld aan een data back-up en autorisatie op bepaalde mappen. Je wilt bijvoorbeeld niet als ondernemer dat alle personeelsleden in de map met personeelsgegevens op de harde schijf kunnen kijken.
Vijf basisprincipes (voor MKB) kan je raadplegen via deze link.
Naast deze basisverplichtingen zijn er nog andere verplichtingen zoals het registreren en het melden van datalekken. Neem bij vragen daarom gerust contact op.
Deze stappen doorlopen met een adviseur? Dat kan door middel van een AVG-support bij jou op locatie.
