Website
Begin met de website. Uw bedrijf moet er in ieder geval compliant uitzien. Controleer het volgende:
- Als uw website cookies gebruikt, moet deze een cookie-dialoog tonen. U weet wat het is, omdat u al veel van die dialogen hebt gesloten. Uw websiteplatform of partner weet hoe u een eenvoudige cookie-dialoog kunt inschakelen.
- Vraag de PrivacyDocs AI-chatbot om een standaard privacybeleid voor websites te genereren. Dit beleid zal de website dekken, niet de rest van uw bedrijf. U kunt een goed geschreven beleid overnemen dat op het web is gevonden, of gewoon de PrivacyDocs AI-chatbot vragen om er een te genereren op basis van de ingevoerde gegevens. Een conforme policy moet op twee pagina's passen en moet twee tot drie verwerkingsactiviteiten bespreken (cookies plaatsen, de website aanbieden, toeganglogs opslaan, mogelijk feedbackformulieren verwerken).
Controleer uw website op derden, zoals Google Analytics, marketingsoftware, ingesloten video, enz. Veel websites gebruiken andere websites en geven de gegevens van uw bezoekers door aan andere bedrijven.
Inventaris
Vervolgens moet u een inventarisatie van verwerkingsactiviteiten opstellen (de zogenaamde registers van verwerkingsactiviteiten). De AVG (GDPR) is opgebouwd rond de verwerkingsactiviteiten, waarvan elke activiteit moet worden beschreven.
De website-activiteiten zijn een goede start. Neem de demo-registraties die bij PrivacyDocs zijn geleverd en pas ze aan uw specificaties aan.
Vul elk record in PrivacyDocs in. Dit kan het volgende omvatten:
- Begrijpen welke systemen betrokken zijn bij het uitvoeren van een verwerking.
- Uitzoeken welke bedrijven deze systemen leveren en betrokken zijn, en de aanwezigheid van de verwerkersovereenkomsten met deze bedrijven controleren.
- Bepalen van de bewaartermijnen voor gegevens.
- Ontdekken van de datadelingpaden.
- Beoordeling van de informatie die aan individuen wordt verstrekt (teksten die op de website verschijnen, privacybeleid van de website, interne privacybeleid, contracten met uw klanten).
Sommige registraties vereisen dat er beoordelingen worden uitgevoerd (typisch een Beoordeling van Legitiem Belang of een Gegevensbeschermingseffectbeoordeling). U kunt de voorbeeldbeoordelingen raadplegen die bij PrivacyDocs zijn geleverd. U kunt ook contact opnemen met de GDPR-adviesdienst van PrivacyDocs. Deze beoordelingen zijn niet te talrijk (u kunt verwachten dat u er maar een paar nodig heeft), maar ze vereisen dat u uw processen vanuit een speciaal perspectief bekijkt. Ze worden vaak het beste uitgevoerd door externe consultants.
Privacybeleid
Privacybeleid is geen plek waar je een samenvatting van de AVG (GDPR) geeft en over de principes ervan praat, maar waar je specifieke details over de verwerkingsactiviteiten die je uitvoert verduidelijkt. Het privacybeleid moet je medewerkers vertellen hoe ze persoonsgegevens moeten verwerken, maar ook informeren over hoe hun gegevens worden verwerkt.
Verzoeken
Bereid uw bedrijf voor op het afhandelen van de zogenaamde Verzoeken van Betrokkenen (DSR): meestal e-mailverzoeken die door iedereen aan uw bedrijf worden ingediend.
- Stel een e-mailadres in als het voorkeurscontactpunt, vermeld dit in uw privacybeleid en op de website.
- Deze e-mail zou meestal naar jou of naar iemand die juridische verzoeken beheert, leiden.
- Zorg ervoor dat de binnenkomende verzoeken eerst vanuit juridisch perspectief worden beoordeeld, aangezien de meeste mogelijk niet juridisch onderbouwd zijn.
- Zorg ervoor dat alle acties die als gevolg van
Inbreuken
Leg aan iedereen in uw bedrijf uit wat een inbreuk is en stel een mechanisme in om deze te rapporteren. Het is meer een sociaal proces. Van technische kant ondersteunt PrivacyDocs dit met het inbreukregister en sjablonen voor verplichte inbreukbeoordelingen die door het bedrijf moeten worden uitgevoerd.
Training
U moet uw medewerkers trainen over de AVG. Er zijn veel gratis basiscursussen beschikbaar. Een cursus van een half uur kan voldoende zijn voor de meeste medewerkers, terwijl slechts enkelen meer diepgaande kennis nodig hebben. U kunt een privacy-vrijdagavond organiseren en samen een cursusvideo bekijken, of een korte training aanvragen bij de adviesdienst van PrivacyDocs.
Het is belangrijk om het feit van training in PrivacyDocs te registreren om het als bewijs van naleving te hebben.
Risico's
Je zult waarschijnlijk niet alles volledig afkrijgen. Sommige contracten zullen ontbreken, sommige systemen of processen moeten worden bijgewerkt, enz. Dit zijn allemaal compliance-gaten die risico's van niet-naleving vormen. De meeste bedrijven hebben een vrij lange lijst van compliance-gaten en risico's die ze dragen. Je moet deze risico's registreren in PrivacyDocs.
Het belangrijkste hier is om deze risico's periodiek te herzien en door te gaan met het werken aan risicobeperking. Een risico negeren is niet compliant. Maar het registreren en beoordelen van een risico, samen met het beheren en uitvoeren van enkele risicobeperkingsmaatregelen, kan uw bedrijf compliant maken, zelfs als het risico niet onmiddellijk wordt geëlimineerd.
Beoordelingen
U moet de processen die niet verwacht worden te veranderen, periodiek herzien, en het kiezen van een jaarlijkse herziening is vaak verdedigbaar. Plan een AVG-herziening voor het komende jaar in uw agenda. Processen die vervallen of achterstallig zijn, zijn gemarkeerd in PrivacyDocs om zichtbaar te zijn.