Houd grip op persoonsgegevens

Privacybescherming is een continu proces. Onderstaand geven wij u een overzicht van diverse punten die u regelmatig moet toetsen om te beoordelen of uw kantoor (nog steeds) aan de belangrijkste AVG-verplichtingen voldoet. Zo weet u of, en zo ja waar, u in actie moet komen.

Heeft u zicht op alle verwerkingen?
Het type gegevens dat uw kantoor verwerkt heeft gevolgen voor de manier waarop u die moet beschermen.

Heeft u nog steeds een grondslag?
U mag alleen persoonsgegevens verwerken wanneer u daarvoor een grondslag heeft. Ga daarom na of dat voor al uw verwerkingen zo is. Bijvoorbeeld: is een verwerking niet langer ‘noodzakelijk voor de uitvoering van een overeenkomst’? Dan mag u zich niet meer op die grondslag baseren.

Bovenstaande punten zullen in de loop van dit jaar steeds actueler worden. We zien op dit moment namelijk dat veel geldverstrekkers en verzekeraars hun processen anders aan het inrichten zijn voor wat betreft het BSN. We zien aanbieders hun processen aanpassen, zodat het BSN pas wordt uitgevraagd in de bindende offerte of bij het invullen van de digitale gezondheidsverklaring. Daarmee komt voor u als financieel dienstverlener de noodzaak van het verwerken van het BSN te vervallen en zult u ook uw verwerkingen hierop moeten aanpassen.

Zijn uw (nieuwe) medewerkers privacybewust?
Zijn bestaande en nieuwe medewerkers goed op de hoogte van de privacyregels? Zij spelen immers een belangrijke rol in het privacyproof houden van uw processen, diensten en producten. Om alle medewerkers betrokken te houden is het belangrijk om het onderwerp privacy cq. Avg met regelmaat onder de aandacht te brengen of mee te nemen in het werkoverleg.

Kunnen mensen hun privacyrechten uitoefenen?
Ga na of uw kantoor de afgelopen tijd verzoeken heeft ontvangen van mensen die hun privacyrechten willen uitoefenen. En of die snel en volgens de regels zijn afgehandeld.

Zijn uw processen op orde?
Ga ook na of uw kantoor zich aan de eigen bewaartermijnen houdt. Verwijder gegevens die u niet langer nodig heeft.

Is uw overzicht met verwerkingen nog up to date?
In het kader van de Avg bent u als financieel dienstverlener verplicht om een verwerkingsregister bij te houden. Ga in dat geval na of alle (nieuwe) verwerkingen in het verwerkingsregister staan. Het bijhouden van een overzicht van verwerkingen is onderdeel van uw verantwoordingsplicht.

Werkt u volgens privacy by design en default?
Past uw kantoor de verplichte uitgangspunten van privacy by design en privacy by default goed toe in de praktijk? Bijvoorbeeld omdat:

• Een app die u aanbiedt niet de locatie van gebruikers registreert als dat niet nodig is.
• Op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf staat aangevinkt.
• Als iemand zich op uw nieuwsbrief wil abonneren u niet meer gegevens vraagt dan nodig is.

Kunt u snel handelen bij datalekken?
Check of u bent voorbereid op een datalek. Hebben zich de afgelopen tijd bijvoorbeeld beveiligingsincidenten binnen uw kantoor voorgedaan? Zo ja, zijn de processen binnen uw kantoor zo ingericht dat er snel is gehandeld? Zijn datalekken tijdig bij de AP gemeld? En zijn ze goed gedocumenteerd?

Heeft u grip op uw verwerkers?
Heeft u uw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn. En beoordeel of ze in de praktijk worden nageleefd.

Voor financieel dienstverleners die gebruiken maken van het Doorlopend onderhoud Avg bij Ophrys worden bovenstaande punten periodiek getoetst en besproken met de financieel dienstverlener. Maakt u geen gebruik van de diensten van Ophrys op gebied van Avg maar heeft u naar aanleiding van bovenstaande nog vragen of wenst u ondersteuning op gebied van Avg? Ophrys kan u hierbij begeleiden. Neem voor meer informatie contact op met ons kantoor op telefoonnummer 0492-344988 of via het contactformulier.