Online AVG-checker voor professioneel begeleiders
1.1 Verwerkt jouw organisatie persoonsgegevens?
Persoonsgegevens betreffen informatie waaruit een natuurlijk persoon herleidbaar is. Dit kan zowel direct herleidbaar (naam, foto, e-mailadres) als indirect herleidbaar zijn op de natuurlijke persoon (bijvoorbeeld een dossiernummer). Met verwerken bedoelen we elke handeling met betrekking tot persoonsgegevens: verzamelen, vastleggen, verspreiden, samenbrengen, uitwissen…).
AVG-checker is klaar. Je hoeft niet te voldoen aan de AVG omdat je geen persoonsgegevens verwerkt.
1.2 Is jouw organisatie verwerkingsverantwoordelijk?
Bepaalt jouw organisatie waarom en hoe de persoonsgegevens verzameld worden? Als jouw organisatie dit zelf vaststelt, ben je volgens de AVG verwerkingsverantwoordelijke. Vrijwel elke organisatie is (minimaal) verwerkingsverantwoordelijke. Als is het maar voor de cookies op de website, persoonsgegevens van medewerkers of contactgegevens van klanten, relaties en leveranciers.
AVG checker is klaar.
Deze AVG-checklist is opgezet voor Verwerkingsverantwoordelijken. Jij hebt aangegeven dat jouw organisatie niet Verwerkingsverantwoordelijk is. Ben je verwerker en wil je ontdekken of jij als Verwerker voldoet aan de AVG? Ga naar de website (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg) van de Autoriteit Persoonsgegevens en lees je in.
1.3 Bestaat jouw werk uit het begeleiden of behandelen van andere mensen?
Hiermee bedoelen we onder andere in de zorg- en welzijnssector, coaching, loopbaan- of stagebegeleiding, psychologische zorg, buurtbemiddeling, diëtiek, etcetera.
1.4 Heeft jouw organisatie alle persoonsgegevens van klanten enkel en alleen in Pluform staan?
Pluform is een online begeleidingssysteem waarin gegevens van en communicatie met jouw klanten veilig en volgens de regels van de AVG zijn opgeslagen. Als je gebruik maakt van Pluform, voldoe je meteen al voor een aanzienlijk gedeelte aan de AVG. Wil je meer weten over hoe Pluform jou helpt AVG-proof te zijn? Klik dan hier.
2.1 Zijn alle relevante mensen in
jouw organisatie op de hoogte van de nieuwe privacyregels
uit de Algemene Verordening
Gegevensbescherming?
Je moet kunnen aantonen dat de mensen in jouw organisatie zich bewust zijn van de nieuwe wet- en regelgeving. Bovendien is het van belang dat jouw organisatie op tijd de juiste acties onderneemt en de juiste mensen aanhaakt om te voldoen.
3.1 Beschik je over een
verwerkingsregister?
Onder de AVG moet je een verwerkingsregister bijhouden van de door jou verzamelde persoonsgegevens. In dit verwerkingsregister documenteer je welke gegevens je verzamelt, op welke grondslag en wat er met deze gegevens gebeurt.
3.1 Beschik je over een
verwerkingsregister?
Onder de AVG moet je een verwerkingsregister bijhouden van de door jou verzamelde persoonsgegevens (in categorieën). In dit verwerkingsregister documenteer je welke gegevens je verzamelt, op welke grondslag en wat er met deze gegevens gebeurt.
3.2 Vink aan welke van onderstaande kolommen of
categorieën in jouw verwerkingsregister staan.
4.1 Informeer je mensen standaard over de privacyrechten
die zij hebben?
Via bijvoorbeeld een privacystatement kun je mensen informeren over de privacyrechten die zij bij jou kunnen uitoefenen. Hierbij is het ook belangrijk dat je hen informeert over hoe zij een privacyverzoek (bijvoorbeeld tot inzage of verwijdering van de gegevens) bij jou in kunnen dienen.
4.2 Beschikt jouw organisatie over een procedure voor
het afhandelen van privacyverzoeken?
4.2 Beschikt jouw organisatie over een procedure voor
het afhandelen van privacyverzoeken?
5.1 Heb je een Data Protection Impact Assessment
uitgevoerd?
Een Data Protection Impact Assessment is een rapport waarin je beschrijft hoe je de privacyrisico’s van jouw gegevensverwerkingen in kaart hebt gebracht en maatregelen beschrijft waarmee je de privacyrisico’s beheerst.
5.1 Heb je een Data Protection Impact Assessment
uitgevoerd?
Een Data Protection Impact Assessment is een rapport waarin je beschrijft hoe je de privacyrisico’s van jouw gegevensverwerkingen in kaart hebt gebracht en maatregelen beschrijft waarmee je de privacyrisico’s beheerst.
5.2 In beginsel hoef je geen DPIA te maken. In sommige gevallen is een DPIA echter verplicht, afhankelijk van jouw gegevensverwerking. Vink hieronder aan welke van onderstaande punten van toepassing zijn op jouw gegevensverwerking. Bij 0 of 1 vinkje hoef je geen DPIA te maken.
6.1 Verzamel je alleen de gegevens die strikt
noodzakelijk zijn voor het doel waarmee jouw organisatie de
gegevens verzamelt?
6.2 Bewaar je gegevens precies zo lang als strikt
noodzakelijk is voor het doel waarmee jouw organisatie
gegevens verzamelt?
6.3 Controleer jij regelmatig of alleen de mensen die bepaalde persoonsgegevens nodig hebben voor het uitvoeren van hun werkzaamheden ook werkelijk toegang hebben tot deze gegevens?
Hiermee bedoelen we dat toegangsbeheer op basis van “need to know is”, dat de persoonsgegevens alleen toegankelijk zijn voor de mensen in jouw organisatie voor wiens werkzaamheden het noodzakelijk is dat zij toegang hebben tot de persoonsgegevens.
7.1 Heeft jouw organisatie een procedure om datalekken of andere inbreuk op persoonsgegevens te melden aan de Autoriteit Persoonsgegevens?
7.1 Heeft jouw organisatie een procedure om datalekken of andere inbreuk op persoonsgegevens te melden aan de Autoriteit Persoonsgegevens?
7.2 Documenteer je alle datalekken en incidenten die
betrekking hebben op inbreuken in verband met
persoonsgegevens?
7.2 Documenteer je alle datalekken en incidenten die
betrekking hebben op inbreuken in verband met
persoonsgegevens?
8.1 Zijn er andere partijen van wiens diensten je
gebruik maakt (“Verwerkers”) voor het verwerken van
persoonsgegevens? Denk bijvoorbeeld aan een online boekhoud-
of administratiesysteem, een accountantbureau,
ICT-hostingpartij voor je website, Dropbox, een
mailprogramma en een programma om nieuwsbrieven mee te
versturen.
8.1 Zijn er andere partijen van wiens diensten je
gebruik maakt (“Verwerkers”) voor het verwerken van
persoonsgegevens? Denk bijvoorbeeld aan een online boekhoud-
of administratiesysteem, een accountantbureau,
ICT-hostingpartij voor je website, Dropbox, een
mailprogramma en een programma om nieuwsbrieven mee te
versturen.
8.2 Heb je met elke verwerker een zogeheten
verwerkersovereenkomst gesloten?
8.3 Geef aan of het volgende in de
verwerkersovereenkomsten wordt beschreven.
9.1 Kun je aantonen welke adequate technische en
organisatorische maatregelen je neemt om de persoonsgegevens
het beschermingsniveau te geven dat aansluit bij de eisen
van de AVG?
Onder de AVG moet je kunnen laten zien hoe je de data veilig houdt, welke maatregelen je hebt genomen en neemt om persoonsgegevens te beschermen.
9.1 Kun je aantonen welke adequate technische en
organisatorische maatregelen je neemt om de persoonsgegevens
het beschermingsniveau te geven dat aansluit bij de eisen
van de AVG?
Onder de AVG moet je kunnen laten zien hoe je de data veilig houdt, welke maatregelen je hebt genomen en neemt om persoonsgegevens te beschermen.
Colofon
Pluform: Platform voor online begleiding
Achtergrond: AVG-checker
Deze AVG-checker is gebouwd door de mensen van Pluform. Pluform is een tool voor professionele online begeleiding. Veiligheid en privacy van de data is één van de pijlers waarop Pluform is gebouwd. Wij doen er alles aan om te garanderen dat iedereen die met cliëntbegeleiding werkt, veilig en volgens de AVG kan werken.
Met Pluform voldoe je al voor een groot deel aan de AVG. Voor het andere deel hebben wij, om mensen te ondersteunen, de AVG-checker in het leven geroepen. Heb je vragen over de AVG checker? Mail ze naar jantine@pluform.com. Wil je meer weten over Pluform, het AVG-veilige platform voor online begeleiding? Ga naar www.pluform.com/avg.