In deze stap wordt organisatie-breed vastgelegd welke verwerkingen van persoonsgegevens plaatsvinden en hoe lang persoonsgegevens bewaard worden. Daaronder valt ook het ter verwerking doorgeven of ontvangen van persoonsgegevens aan of van derden. De verwerkingen en de aard van de bijbehorende gegevens worden vastgelegd in een verwerkingsregister. Gekeken wordt of in het verleden sprake was van beveiligingsproblemen of datalekken.

Tevens wordt geïnventariseerd welke AVG-gerelateerde afspraken of overeenkomsten reeds aanwezig zijn. Bijvoorbeeld welke verwerkersovereenkomsten, interne regelingen, privacy-statement of -verklaring en dergelijke al vastgelegd zijn. Dit alles bij elkaar geeft een beeld van waar de organisatie zich bevindt met betrekking tot AVG compliance.

In deze stap worden de grondslagen voor de verwerking onderzocht en op welke wijze deze grondslagen eventueel aangevuld kunnen worden of verwerking beperkt kan worden. Zonder grondslag mogen persoonsgegevens niet verwerkt worden.

In deze stap worden de grondslagen voor de verwerking onderzocht en op welke wijze deze grondslagen eventueel aangevuld kunnen worden of verwerking beperkt kan worden. Zonder grondslag mogen persoonsgegevens niet verwerkt worden.

Betrokkenen – mensen wiens persoonsgegevens verwerkt worden – hebben privacy-rechten. Onder meer het recht op inzage, verwijdering en correctie. De organisatie of het systeem behoort dus in staat te zijn verzoeken van betrokkenen conform de AVG af te handelen.

Voor sommige organisaties is de aanstelling van een Functionaris Gegevensbescherming een verplichting. Wanneer dit niet het geval is kan toch besloten worden dat het aanstellen van een privacy officer een goed idee is. In de AVG en middels aanwijzingen van de Autoriteit Persoonsgegevens is vastgesteld wanneer het uitvoeren van een DPIA verplicht is. Heel kort gezegd is dat het geval als de verwerking een hoog privacy-risico met zich meebrengt.

Dit gaat over de zachtere kant van AVG compliance. De AVG voorziet in Privacy by Design, Privacy by Default en vereist tijdig adequaat handelen in geval van een datalek. Leeft de AVG onder de werknemers? Dit zijn zaken die ingebed behoren te worden in de organisatie. Bijvoorbeeld een voordracht voor werknemers over de AVG in samenhang met de inbedding in het bedrijf of de organisatie creëert bewustzijn en helpt risico’s verlagen.

Dit document is uw bewijs dat de organisatie voldoet of zal voldoen aan de eisen die de AVG stelt. Bij wijzigingen in werkwijze of verwerking is het noodzakelijk om voorgaande stappen nog eens af te lopen en de benodigde aanpassingen van het privacy-document te doen.