admin Checklist: voldoet mijn organisatie aan alle gdpr/avg verplichtingen Checklist: voldoet mijn organisatie aan alle vereisten van de GDPR/AVG Nieuwsbrief Blijf op de hoogte van ontwikkelingen in de wereld van ICT-, Internet-, Privacy-, social media-, digitale marketingrecht. Schrijf je in – Vul onderstaande vragenlijst aan – Stuur ons de vragenlijst toe en ontvang advies over welke stappen u nog moet nemen om uw organisatie volledig compliant met de GDPR/AVG te maken – Niet alle browsers ondersteunen de vragenlijst even goed. Google Chrome, Firefox of Safari zijn meest aangewezen. Edge en Internet Explorer ondersteunen de vragenlijst niet. – Heeft u vragen, stel ze ons via Chat of stuur ons een e-mail. UW GEGEVENS Uw naam: * Uw e-mailadres: * Uw telefoonnummer: * VRAGENLIJST 1. Doet uw organisatie minimaal één van de hieronder vermelde handelingen? “Zakelijk email verkeer” “E-mails versturen naar consumenten of particulieren” “Namen van klanten verzamelen en gebruiken, bijv. bij online verkoop of in een aparte database” “Andere informatie over klanten of consumenten verzamelen en gebruiken, bijv. bij online verkoop, op een website of in een ” “aparte database ” “Namen van andere soorten contactpersonen verzamelen en gebruiken (bijv. kandidaten, freelancers, leveranciers) bijv. online of in een aparte database ” “Andere informatie over andere contactpersonen verzamelen en gebruiken ” “Technische identifyers van apparaten, zoals smart phones ” “Camerabewaking ” “IP-adressen via website verzamelen ” “Tracking cookies plaatsen en surfgedrag bijhouden ” “Contactformulier via website ” “Gebruiksgegevens via app verzamelen (bijv. gebruikersnaam, locatiegegevens) ” “Social media account beheren” JaNeen 2. Beheert uw organisatie geheel zelfstandig (bepaal)de gegevens en niet alleen maar in opdracht van een andere organisatie? (Het antwoord is “nee” als uw organisatie de persoonsgegevens beheert of gebruikt alleen maar voor een andere organisatie, in de rol van leverancier. Als uw organisatie zelf een directe relatie met de personen heeft en de gegevens in dat kader nodig zijn, is het antwoord “ja”. Ook als uw organisatie zelfstandig bepaalt wat er met de gegevens gebeurt en hoe ze worden gebruikt, is het antwoord “ja”) JaNeenWeet niet 3. Heeft uw organisatie werknemers? JaNeen 4. Gebruikt uw organisatie (ook) zogenaamde “bijzondere persoonsgegevens”? (Bijzondere persoonsgegevens zijn gegevens over: • gezondheid (denk daarbij ook aan gegevens over zieke werknemers) • seksuele gedrag of geaardheid • geloof of filosofische overtuigingen • politieke opinie • lidmaatschap van een vakbond • ras of etnische afkomst • genetische kenmerken • biometrische kenmerken die worden gebruikt om de persoon te identificeren • strafrechtelijke gegevens) JaNeenWeet niet 5. Indien Ja: gaat het om grootschalig gebruik van de bijzondere persoonsgegevens? Bij “grootschalig” kunt u denken aan een ziekenhuis dat gegevens van patiënten verwerkt. Een huisartsenpraktijk wordt niet als grootschalig gezien. JaNeenWeet niet 6. Indien Ja: is het verwerken van bijzondere persoonsgegevens de kernactiviteit van uw organisatie? Een kernactiviteit is datgene wat door uw organisatie hoofdzakelijk wordt gedaan. JeNeenWeet niet 7. Gebruikt uw organisatie de persoonsgegevens in de dagelijkse gang van zaken? Denk hierbij aan:emailverkeer, informatie die via een website wordt verzameld, beheer van een klantenbestand, gegevens van de werknemers, bestand van patiënten e.d. JaNeen 8. Bestaat de kernactiviteit van uw organisatie (ook) uit het op grote schaal volgen, “tracken” of observeren van de mensen? Een “kernactiviteit” is één van de belangrijkste bezigheden van uw organisatie. Voorbeelden van volgen, “tracken” of observeren zijn: • het tracken en opbouwen van profielen van mensen via het internet; • het opbouwen van profielen en scores, bijvoorbeeld voor kredietchecks; • het aangaan van verzekeringen of voorkoming van fraude; • locatiegegevens bijhouden; • behavioral advertising; • het bijhouden van gegevens via draagbare apparaten. JaNeenWeet niet 9. Gebruikt uw organisatie rijksregisternummers? JaNeen 10. Deelt u samen met een of meer andere externe partijen de verantwoordelijkheid voor één set persoonsgegevens?. Het gaat hier om dezelfde set persoonsgegevens, die gezamenlijk wordt beheerd door uw organisatie en een of meer andere externe organisaties. JaNeenWeet niet 11. Maakt uw organisatie gebruik van “uitsluitend geautomatiseerde individuele besluitvorming” en/of “profiling”? “Uitsluitend geautomatiseerde individuele beslissingen” worden genomen wanneer door computers of algoritmes op basis van input van bepaalde data een beslissing wordt genomen over een persoon, zonder dat daar een mens aan te pas komt. Voorbeelden hiervan zijn automatische credit checks of e-recruiting zonder tussenkomst van een persoon. Profiling is het geautomatiseerd opbouwen van profielen van mensen aan de hand van hun gegevens. Een veel voorkomend voorbeeld van profiling is targeted advertising. JaNeenWeet niet 12. Doet uw organisatie aan het monitoren van publieke ruimten? JaNeenWeet niet 13. Is er sprake van één van de hierna vermelde handelingen? • Er wordt een nieuwe technologie gebruikt; • er is sprake van “gevoelige persoonsgegevens” (dit zijn persoonsgegevens die een indringend beeld kunnen geven van de betrokken persoon, zoals financiële gegevens, personeelsdossiers, gegevens over uitkeringsrechten, locatiegegevens); • het gaat om grootschalige verwerkingen; • er worden bestanden gekoppeld; • er worden gegevens doorgegeven naar buiten de EER. JaNeenWeet niet Vraag 14. Gebruikt uw organisatie gegevens van kinderen? Het gaat hier om minderjarigen jonger dan 16 jaar JaNeen Vraag 15. Indien uw organisatie gegevens van kinderen verwerkt, vraagt u hiervoor dan toestemming aan ouders of voogd? JaNeenWeet nietNiet van toepassing Vraag 16. Weet u voor welke doeleinden u of uw organisatie persoonsgegevens gebruikt? Een doel is bv. facturatie, nieuwsbrief versturen, loonadministratie, opvolgen prospecten, … JaNeen Vraag 17. Heeft uw organisatie alle persoonsgegvens die door de organisatie gebruikt worden wel nodig op het doel te bereiken? Bv. voor een online marketing campagne heeft u hoogstens e-mailadres en naam en/of voornaam nodig (soms ook de voorkeuren of de leeftijd) en is het niet nodig om een rijksregisternummer of een telefoonnummer te gebruiken JaNeenWeet niet Vraag 18. Heeft uw organisatie altijd minimaal één van de in de hierna vermelde “rechtsgronden” voor het gebruik van de persoonsgegevens? Dit geldt per soort persoonsgegeven en per doel waarvoor één specifiek gegeven wordt gebruikt. 1. Toestemming 2. Uitvoeren van een overeenkomst 3. Wettelijke verplichting 4. Levensbebedrijgende situatie 5. Algemeen belang of een publieke taak 6. Gerechtvaardigd belang Bv. Naam van de klant heeft u nodig voor facturatie (contractuele basis is dan rechtsgrond) en naam van klant heeft u nodig voor nieuwsbrief (hier kan dan de rechtsgrond toestemming of gerechtvaardigd belang zijn) JaNeenWeet niet Vraag 19. Moet u toestemming vragen voor bepaalde verwerkingen omdat er geen andere rechtsgrond is? JaNeen Vraag 20. Heeft uw organisatie een website? JaNeen Vraag 21: Biedt uw organisatie een app aan waarmee persoonsgegevens worden verzameld? JaNeen Vraag 22. Gebruikt uw organisatie internetapplicaties waar persoonsgegevens in worden ingevoerd en/of ge-upload? Denk bijvoorbeeld aan online mailing applicaties, online boekhoud programma, online document sharing e.d. JaNeen Vraag 23. Heeft u een deel van uw organisatie ge-outsourced waarbij persoonsgegevens worden beheerd of gebruikt door de outsourcing partij? Bv. een accountant, marketingbureau, verzekeraar, beheerder van uw social media accounts, … JaNeen Vraag 24. Deelt u de gegevens met andere, externe partijen? Het gaat hier niet om verwerkers of mede-verantwoordelijken, maar om andere partijen die de gegevens voor zichzelf gebruiken. Denk aan andere partijen die de gegevens voor hun eigen (commerciële) activiteiten gebruiken. JaNeen Vraag 25. Ontvangt uw organisatie (bepaal)de gegevens van andere externe partijen? Het gaat hier niet om ontvangst van gegevens van verwerkers of medeverantwoordelijken maar van andere partijen zoals marktpartijen, bv. wanneer u gegevens aankoopt voor een marketing campagne JaNeen Vraag 26. Heeft uw organisatie een veiligheidsbeleid? JaNeen Vraag 27. Heeft uw organisatie een draaiboek in geval van datalekken? JaNeen “Vraag 28. Heeft u uw medewerkers verplicht tot geheimhouding en tot het alleen verwerken van de gegevens in het kader van hun werkzaamheden? ” JaNeenNiet van toepassing “Vraag 29. Heeft uw organisatie een protocol of draaiboek en procedure voor als personen verzoeken over hun persoonsgegevens indienen? ” JaNeen Vraag 30. Heeft u al maatregelen genomen om het nieuwe “recht op dataportabiliteit” te faciliteren? Het “recht op data-portabiliteit” is een nieuw recht. Op basis daarvan hebben de personen onder voorwaarden het recht hun gegevens mee te krijgen in een gangbaar format. JaNeen Vraag 31. Zorgt uw organisatie dat de persoonsgegevens up-to-date, compleet en juist zijn? Het gaat hier vooral om gegevens in databases. Om te voorkomen dat de gegevens verkeerd worden gebruikt (er wordt bijvoorbeeld een brief gestuurd naar het verkeerde adres), is het van belang om te zorgen dat de gegevens up-to-date, compleet en juist zijn. JaNeen Vraag 32. Heeft uw organisatie een systeem inzake bewaartermijnen uitgewerkt? De GDPR/AVG stelt dat persoonsgegevens niet langer dan noodzakelijk voor het bereiken van het doel waarvoor ze werden verkregen, worden bewaard. JaNeen Vraag 33. Heeft uw organisatie een intern privacybeleid? JaNeen Vraag 34. Is er binnen uw organisatie een contactpunt waar medewerkers terecht kunnen met hun vragen over privacy? JaNeenNiet van toepassing Vraag 35. Past uw organisatie waar mogelijk “privacy by design” en “privacy by default” toe? Privacy by design houdt in dat uw organisatie onderzoekt op welke manier de privacyregels feitelijk en technisch kunnen worden toegepast en welke maatregelen kunnen worden genomen om de rechten van de personen te beschermen. Privacy by default houdt in dat uw organisatie technische en organisatorische maatregelen neemt om te zorgen dat alleen persoonlijke informatie wordt gebruikt die noodzakelijk is voor de doeleinden waarvoor ze worden verzameld. JaNeenNiet van toepassing Vraag 36. Traint uw organisatie het personeel op privacy-awareness? JaNeenNiet van toepassing Vraag 37. Heeft u de privacyverklaring afgestemd op de nieuwe privacywet? JaNeen AANVULLENDE INFORMATIE Opmerkingen of aanvulling kan u hieronder aangeven Aanbevolen! Ikschrijf mij in op de nieuwsbrief en krijg maandelijks interessante informatie over privacy-, internet-, marketing- en social media recht Juridisch alles in één keer geregeld? Bekijk de totaalpakketten. Totaalpakketten Andere diensten Verwerkersovereenkomst Laat u iemand anders persoonsgegevens waarvoor u verantwoordelijk bent verwerkten?Met de komst van de GDPR/AVG bent u verplicht een verwerkersovereenkomst met elk van uw verwerkers af te sluiten. Verwerkingsregister Nagenoeg alle organisaties die op een structurele manier persoonsgegevens verwerken moeten een verwerkingsregister bijhouden. Hierin documenteert u onder andere waarvoor u welke gegevens worden bijgehouden, hoe lang u ze bewaart, op welke grond u dit doet en of de gegevens verder worden verwerkt. Meer over verwerkersovereenkomst Meer over het verwerkingsregisteer EasyLegal vofSint Janstraat 681785 Merchteminfo@easylegal.be+32 (0) 52 37 47 82BE 0741.883.615 Meer informatie Advies & diensten Detachering Trainingen Documenten Onze mensen Juridisch Algemene voorwaarden Privacy verklaring Cookieverklaring Wijzig uw cookievoorkeuren