We moeten aan de slag met de AVG, maar waar moeten we beginnen?

We creëren duidelijkheid en bieden een helder toetsingskader, waarmee we samen met de organisatie kunnen vaststellen waar we nu staan, waar we naar toe willen en hoe we daar komen. In dat proces bieden we ondersteuning en nemen we de organisatie op sleeptouw met het uiteindelijke doel om aantoonbaar te voldoen aan de AVG, opdat ook u tegen uw klanten kunt zeggen dat “bij ons uw gegevens veilig zijn!”. De stappen op een rij:

  1. Vaststellen privacybeleid
  2. Inventariseren en begrijpen
  3. Uitleggen (privacyverklaring)
  4. Gedragsregels uitrollen
  5. Naleving documenten

Mag ik persoonsgegevens wel/niet via de mail sturen?

Op deze vraag bestaat geen eenduidig antwoord. Stel uzelf daarom een aantal vragen. Is het interne mail, of is het een externe mail? Staan er veel persoonsgegevens in of juist niet? Zijn het gevoelige gegevens? 

Het Privacy Huys leert de organisatie om op de juiste manier door te vragen en te classificeren wat wel en wat niet via de mail mag. Samen stellen we een classificatie op per categorie persoonsgegevens, zodat iedereen weet wat geoorloofd en verantwoord is en wat niet.

Mag ik gegevens delen in Dropbox en via WeTransfer?

Volgens de huidige stand der technologieën zijn beide systemen niet voldoende passend beveiligd en is het risicovol om via deze weg uw bestanden te delen met derden.

Mag ik mijn bestaande klanten periodiek mailen?

Ja, u mag uw bestaande klanten gewoon mailen, mits er een opt out mogelijkheid geboden wordt. Ook wanneer uw klant geen recente aankoop heeft gedaan (maar +12 maanden geleden), mag u de klant toch informeren over nieuwe ontwikkelingen, producten en diensten.

Wat is het verschil tussen een Privacyverklaring en een cookieverklaring?

Een cookieverklaring informeert websitebezoekers voorafgaand aan het plaatsen van cookies welke cookies geactiveerd kunnen worden, indien de toestemming daarvoor verkregen wordt. Een privacyverklaring informeert betrokken in algemene zin over hoe de organisatie omgaat met hun persoonsgegevens. Dat kan in de hoedanigheid van websitebezoeker, medewerker, leverancier, bezoeker of klant zijn. Voor al die hoedanigheden dient specifieke uitleg te worden geboden in de privacyverklaring. 

Wat is een goede indicatie dat een organisatie niet privacy proof is?

Als er geen adequate privacyverklaring beschikbaar is op de website, dan is de kans groot dat de website niet privacy proof is. Een privacyverklaring moet te allen tijde ongevraagd gevonden en geraadpleegd kunnen worden.

Wat is dataminimalisatie?

Dataminimalisatie wil zeggen dat je niet méér persoonsgegevens mag verwerken dan strikt noodzakelijk is voor het doel van de verwerking.

Wanneer moet ik wel of geen DPIA uitvoeren?

Indien de verwerking hoge risico’s met zich meebrengt voor de privacy van de betrokkenen, dan is een voorafgaande DPIA verplicht. De Europese toezichthouders hebben een lijst met 10 criteria geformuleerd, die u kunt raadplegen. Deze lijst vindt u hier.