Om persoonsgegevens op een zorgvuldige manier te verwerken, is het belangrijk dat u in kaart brengt welke persoonsgegevens u precies verwerkt. Deze stap vormt namelijk de basis voor de uitvoering van de volgende stappen. Het is onder andere van belang om te weten of u bijzondere persoonsgegevens verwerkt, met welk doel u persoonsgegevens verwerkt, door wie de persoonsgegevens worden verwerkt en welke veiligheidsmaatregelen u heeft genomen voor de verwerking van gegevens.

Op basis van de AVG mag u alleen persoonsgegevens verwerken voor een welbepaald, gerechtvaardigd en duidelijk omschreven doel. Bij elke verwerking van persoonsgegevens moet u beoordelen of deze verwerking noodzakelijk is voor het omschreven doel. Daarnaast geeft de AVG bepaalde grondslagen aan op basis waarvan persoonsgegevens verwerkt mogen worden. Verwerking van gegevens mag slechts op deze grondslagen plaatsvinden. Het is dus van belang om het doel en de grondslag van de gegevensverwerking vast te stellen.

Onder de AVG hebben de mensen van wie u persoonsgegevens verwerkt meer privacyrechten gekregen en zijn hun bestaande privacyrechten versterkt. Het is voor bedrijven van belang om te bepalen hoe zij deze rechten gaan waarborgen. Hierbij gaat het om de volgende rechten:

• recht op informatie;
• recht van inzage;
• recht op rectificatie;
• recht op gegevenswissing;
• recht op beperking van de verwerking;
• recht op overdraagbaarheid van gegevens;
• recht van bezwaar.

Toestemming is een veelgebruikte grondslag voor de verwerking van persoonsgegevens. In de AVG worden strenge eisen aan toestemming gesteld. Toestemming moet op actieve wijze, vrij en geïnformeerd gegeven worden. Ook moet de toestemming op eenvoudige wijze weer ingetrokken kunnen worden en moet u kunnen aantonen dat u geldige toestemming van betrokkenen heeft gekregen om hun persoonsgegevens te verwerken. Om ervoor te zorgen dat u aan deze vereisten voldoet, is het belang om te evalueren op welke wijze u toestemming vraagt, krijgt en registreert.

Onder de AVG kunt een verplicht zijn een Data Protection Impact Assessment (DPIA) uit te voeren. Met dit instrument kunt u voorafgaand aan de gegevensverwerking de risico’s in kaart brengen en vervolgens maatregelen nemen om deze risico’s te verkleinen. Een DPIA dient uitgevoerd te worden als de beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Dat is in ieder geval in de volgende situaties:

• u beoordeelt systematisch en uitgebreid persoonlijke aspecten van personen en neemt op basis daarvan besluiten. Hierbij kan gedacht worden aan profilering;
• u verwerkt op grote schaal bijzondere persoonsgegevens;
• u volgt op grote schaal en stelselmatig mensen in een openbare ruimte. Hierbij kan gedacht worden aan cameratoezicht.

Onder de AVG kunt u verplicht zijn om een Functionaris voor Gegevensbescherming aan te stellen. Deze verplichting geldt in de volgende gevallen:

• u observeert vanuit uw kerntaak op grote schaal regelmatig en stelselmatig individuen;
• u houdt zich vanuit uw kerntaak bezig met het op grote schaal verwerken van bijzondere persoonsgegevens.

Uiteraard kunt u binnen uw bedrijf ook vrijwillig een Functionaris voor Gegevensbescherming aanstellen. Deze functionaris is in dat geval belast met dezelfde taken als de verplichte Functionaris voor Gegevensbescherming.

De AVG kent een meldplicht datalakken, waarbij alle datalekken die een risico in kunnen houden voor de rechten en vrijheden voor natuurlijke personen gemeld moeten worden. Bovendien worden in de AVG strengere eisen gesteld aan de eigen registratie van datalekken die zich in uw organisatie hebben voorgedaan. Alle datalekken moeten gedocumenteerd worden in een register.

Heeft u de gegevensverwerking uitbesteedt aan een derde die ten behoeve van uw organisatie persoonsgegevens verwerkt? Dan bent u verplicht om een verwerkersovereenkomst aan te gaan. Een verwerkersovereenkomst dient op grond van de AVG bepaalde informatie te bevatten. U dient te controleren of bestaande verwerkersovereenkomsten nog steeds toereikend zijn en voldoen aan de vereisten in de AVG. Het kan ook noodzakelijk zijn om nieuwe overeenkomsten af te sluiten

De AVG gaat uit van de one-stop-shop regel. Dit betekent dat u bij grensoverschrijdende verwerking van persoonsgegevens nog maar met één toezichthouder zaken hoeft te doen, namelijk de leidende toezichthouder.  Van grensoverschrijdende verwerking van persoonsgegevens is sprake wanneer uw organisatie vestigingen in meerdere EU-lidstaten heeft en daar persoonsgegevens verwerkt of wanneer de gegevensverwerking in meerdere lidstaten impact heeft. De leidende toezichthouder is in principe de toezichthouder van de lidstaat waar uw organisatie gevestigd is of u de hoofdvestiging heeft.