Stappenplan Klaar voor de AVG
Onderstaand stappenplan gebruik je om je Profit omgeving klaar te maken voor de AVG. De wet is per 25 mei 2018 van toepassing. Dit is een eenmalige actie.
Als je voldoet aan de AVG kun je vervolgens periodiek je gegevens opschonen volgens het overzicht dat je zelf maakt.
Stap 1: Bestaande privacygevoelige gegevens controleren en opschonen
- Vul bij je vrije velden aan of ze privacygevoelig zijn of niet.
- Raadpleeg de persoonsvelden. Verwijder velden/maak ze onzichtbaar in het geval het om privacygevoelige gegevens gaat.
- Controleer je zelfgemaakte typen dossieritem
Voor de AVG raden we je aan je zelfgemaakte typen dossieritems nog eens kritisch te bekijken.
- Registreert het type dossieritem gegevens die privacygevoelig zijn? Maak bepaalde gegevens onzichtbaar bijvoorbeeld via profielen.
- Zijn er teveel gebruikers geautoriseerd om het dossieritem te raadplegen? Maak het type dossieritem vertrouwelijk zodat de rechten snel ingeperkt zijn.
- Verwijder dossieritems, bijvoorbeeld via de centrale dossierweergave.
- Stel filterautorisatie in op geblokkeerde personen. Van personen die niet geraadpleegd kunnen worden door onbevoegden, ziet men immers ook dossiers en andere gegevens niet.
Stap 2: Overzicht maken
Je bepaalt als organisatie zelf hoe lang je persoonsgegevens wilt bewaren. De wet AVG bepaalt dit niet. Andere wetten zeggen daar wel iets over. Voor de Belastingdienst moet je facturen e.d. bijvoorbeeld zeven jaar bewaren.
Maak zelf een overzicht van hoe lang je gegevens voor het doel waarvoor ze verzameld zijn, wilt behouden. Gebruik daarbij het overzicht van de persoonsvelden Ze mogen niet langer bewaard worden dan nodig.
- Maak een overzicht van de persoonsgegevens (inkooprelatie/verkooprelatie van het type persoon, medewerker, cliƫnt IB, etc.) en het doel waarvoor ze opgeslagen worden.
- Beslis hoe lang je welke persoonsgegevens gaat bewaren en registreer dit.
Stap 3: Persoonsgegevens verwijderen
- Richt het verwijderen van persoonsgegevens in.
- Houd de juiste volgorde aan bij het verwijderen van de persoonsgegevens. Verwijder eerst de specifieke persoonsgegevens (inkooprelatie, verkooprelatie, medewerker, etc.) en tenslotte de persoon waarbij geen specifieke gegevens meer voorkomen.