Hoe kan je voorbereidingen treffen op de AVG?
- Check welke gegevens er zijn, hoe en waarom ze gebruikt worden en met wie de informatie wordt gedeeld of voor wie de informatie toegankelijk is.
- Check hoe de informatie wordt opgeslagen en hoe deze is beschermd.
Gegevens moeten veilig bewaard worden. Dit verwijst naar datalekken, maar ook papieren registers of usb-stickjes. - Bekijk alle processen en bekijk of deze gerechtvaardigd zijn en volledig gedocumenteerd.
- Bekijk van alle gegevens wanneer artikel 6 of 9 van toepassing is en of er dan de benodigde expliciete toestemming verkregen is en hoe deze is verkregen en of deze gedocumenteerd is.
Het is noodzakelijk in het kader van de wet op privacy persoonsgegevens om toestemming te hebben van de personen waarvan de gegevens geregistreerd worden. Belangrijk bij toestemming is, dat duidelijk moet zijn dat:
a. de toestemming vrij gegeven is,
b. de betrokkenen goed is geïnformeerd en
c. dat betrokkenen de mogelijkheid heeft de toestemming in te trekken.
Deze toestemming moet kunnen worden aangetoond. Het aantonen gaat ver: uit de bestanden moet blijken wanneer en hoe de toestemming is verleend en ook waarvoor toestemming is verleend. Toestemming is heel belangrijk. Een en ander betekent dus dat bijvoorbeeld het slechts aanvinken van een hokje op een formulier niet voldoende is. Let op: ook bijvoorbeeld het versturen van een email aan alle leden over een buiten het kerkgenootschap vallende aangelegenheid, zoals bijvoorbeeld een actie voor de voedselbank, kan niet gebeuren, zonder dat er expliciet toestemming is gegeven voor het versturen van een dergelijke email.
In geval van de registratie van persoonsgegevens van kinderen is het noodzakelijk de schriftelijke toestemming van de ouders te hebben en te kunnen aantonen. - Bekijk alle bestaande procedures met betrekking tot vragen van personen, zijn deze adequaat en up-to-date?
De gegevensverwerking moet transparant, specifiek en adequaat zijn, alsmede relevant en gelimiteerd tot het doel waarvoor het is verkregen.
Dat betekent dat bedacht moet worden:
- wat wordt er vastgelegd,
- waarom worden gegevens vastgelegd en
- alleen die gegevens vastleggen die je nodig hebt en waarvan het doel aan betrokkene is duidelijk gemaakt. - Wat is de procedure voor het up-to-date houden van de gegevens en wat is de procedure om gegevens te verwijderen?
De verkregen toestemming moet iedere 5 jaar worden gecontroleerd/geëvalueerd, zodat men zeker weet dat de gegeven toestemming nog steeds geldig is.
Indien het niet meer noodzakelijk is de gegevens te bewaren, zullen deze moeten worden vernietigd. Het is belangrijk om na te gaan wanneer informatie wordt verwijderd, wie dat kan doen, maar ook om bijvoorbeeld wachtwoorden van websites te behouden om informatie aan te kunnen passen. - Check alle bestaande IT systemen op het verwerken van gegevens, veiligheidsprocedures, etc.
- Maak een Data Protection Impact Assessment, ook wel PIA (Privacy Impact Assessment) genoemd, om ervoor te zorgen dat alle procedures voor comliance en beveiliging klaar zijn, gegevensverwerking gericht is op het doel waarvoor de gegevens verkregen zijn en de risico's in kaart zijn gebracht. (Deze verplichting geldt waarschijnlijk alleen voor gegevensverwerking op grote schaal, maar is wel een handig instrument om ervoor te zorgen dat alles in orde is.) Een DPIA of PIA is een beoordeling om het effect van beoogde gegevensverwerking in kaart te brengen.
Opmerking: Het is nog onduidelijk of het noodzakelijk zal zijn een zogenaamde Data Protection Officer aan te stellen. Het staat vast dat bij de gegevensverwerking van grote aantallen personen dit noodzakelijk is, maar er is nog niet vastgesteld om welke hoeveelheid personen het gaat. Desondanks is het wel aan te raden om in ieder geval iemand verantwoordelijk te maken voor het beheer en de verwerking van de persoonsgegevens. Dit hoeft geen extern persoon te zijn, maar kan iemand binnen het kerkgenootschap zijn. - Indien er sprake is van externe gegevensverwerking, dus door derde partijen, stel een verwerkersovereenkomst op.
- Kijk naar het huidige beleid voor melden van datalekken en pas het zo nodig aan. Let hierbij ook op hoeveel computers bepaalde bestanden staan en hoe hiermee wordt omgegaan. Het is verstandig om de aantallen computers, bestanden en mensen die bij en met persoonsgegevens werken zoveel mogelijk te beperken.
AUDIT formulier: voor alle bestanden, e-maillijsten, spreadsheets, papieren documenten en andere persoonsgegevens.
Om-schrijving | Waarom data bewaren, waarvoor gebruikt | Basis, toestemming waarvoor | Wie beschikt over data, wie heeft toegang? |
Welke veiligheids-procedure is er? |
Hoe lang worden gegevens bewaard? | Past dit binnen nieuwe privacy beleid? | Actie |
---|---|---|---|---|---|---|---|