Checklist AVG voor franchiseorganisaties

Is uw (franchise)organisatie al klaar voor de Algemene verordening gegevensbescherming?

Is uw (franchise)organisatie klaar voor de Algemene verordening gegevensbescherming (AVG) of weet u niet waar u moet beginnen? Ik heb voor u een aantal verplichtingen uit de AVG op een rij gezet. Onderstaande checklist kunt u gebruiken bij de voorbereiding op de invoering van de AVG.

Check
Heeft u een Privacy beleid ingesteld?

Privacy beleid is een van de belangrijkste instrumenten om ervoor te zorgen dat u als organisatie aan de privacy wet- en regelgeving voldoet. In het Privacy beleid legt u vast hoe u als organisatie omgaat met privacy en in het bijzonder de bescherming van persoonsgegevens. Onderdeel van uw Privacy beleid is het beschikken over een privacyverklaring, indien nodig een cookieverklaring en de rechten van uw klanten.

Check
Dient uw organisatie een Functionaris voor Gegevensbescherming (FG) en/of een privacy officer aan te stellen?

De FG is een interne of externe toezichthouder die toeziet op de naleving van de AVG binnen een organisatie. Een privacy officer kan aangesteld worden voor operationele zaken zoals het vormgeven van het Privacy beleid. Een privacy officer is niet verplicht.
Een FG is onder meer verplicht voor organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen, het kan hierbij gaan om profilering van mensen door cameratoezicht en monitoring van iemands gezondheid via wearables. Organisaties zijn tevens verplicht een FG te benoemen als ze op grote schaal bijzondere persoonsgegevens verwerken en dit een kernactiviteit is. Enkele voorbeelden: loonadministraties, medische sector, aanbieders van telefonie of internetdiensten, bank- en verzekeringswezen. 

Check
Bewustwording en interne communicatie.

Om te voldoen aan de AVG wet- en regelgeving dient een organisatie er ook voor te zorgen dat medewerkers binnen de organisatie zich houden aan intern afgesproken regels en richtlijnen. Uiteindelijk bepaalt het handelen van medewerkers in de praktijk in belangrijke mate of een organisatie voldoet aan de wet- en regelgeving.

Check
Check of u een verwerkersovereenkomst moet sluiten met partijen waarmee u zaken doet.

Dit is noodzakelijk als er persoonsgegevens verwerkt worden in opdracht van een van de partijen. Dit geldt bijvoorbeeld als u met een partij klantgegevens uitwisselt maar ook als u bijvoorbeeld uw helpdesk hebt uitbesteed.

Check
Heeft u al een verwerkersregister opgesteld?

Een verwerkingsverantwoordelijke moet een volledige lijst bijhouden van alle categorieën van persoonsgegevens die worden gebruikt, alle categorieën van betrokkenen en alle verwerkingsactiviteiten. Daarnaast moet de verwerkingsverantwoordelijke ook aangeven wat de verwerkingsdoeleinden zijn, wie de persoonsgegevens nog meer ontvangen en voor hoe lang deze gegevens bewaard worden.

Check
Heeft u al een procedure om te voldoen aan de meldplicht datalekken?

In deze procedure moet worden vastgelegd welke stappen u moet zetten bij het ontdekken van een datalek. Zoals, binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens. In sommige gevallen moet het ook aan de betrokkene worden gemeld en er moet een registratie bijgehouden worden van het aantal incidenten.

Bereid u goed voor op de verplichtingen van de AVG, dan maakt u het uw (franchise)organisatie een stuk eenvoudiger. Heeft u vragen of hulp nodig neem dan contact op met VAN ENGEL LEGAL