De Compliance Check AVG is een lijst met vragen om u inzicht te geven in de mate waarin uw organisatie voldoet aan hetgeen in de Algemene Verordening Gegevensbescherming staat.

In onderstaande tabellen staan geclusterd vragen. Wanneer u de vragen met "Ja" kan beantwoorden en u dit gedocumenteerd kan aantonen voldoet u aan de AVG. In bepaalde gevallen is het mogelijk dat een bepaalde vraag niet van toepassing is. De vragen spreken voor zich of dit al dan geen probleem is.

Via de ? in de laatste kolom kunt u naar een scherm gaan waarin verdere uitleg wordt gegeven rond die specifieke vraag.

Het is van belang om te realiseren dat de beantwoording van de vragen door uzelf niet betekent dat u hier rechten uit kan ontlenen ten aanzien van datalekken of aansprakelijkheid. Een organisatie is en blijft zelf verantwoordelijk om te voldoen aan de regel- en wetgeving waaronder de AVG. Er is op dit moment geen geaccrediteerde certificering beschikbaar.

Indien u de onderstaande vragen wil ontvangen, dan kan u naar de Downloads gaan in het menu boven. U kan daar de PDF met de vragen downloaden.

Heeft u behoefte aan advies of een gesprek, neem dan gerust contact op via het email adres Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

 

    
Rechtmatigheid en doelbinding
    
1   Verwerkt u alleen gegevens indien dit rechtmatig is? ?
2   De persoonsgegevens worden verzamelt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet gebruikt voor doeleinden die onverenigbaar zijn. ?
3   Persoonsgegevens worden niet langer dan noodzakelijk in een vorm bewaart die het mogelijk maakt om iemand te identificeren. ?
4   Indien u verwerkt omdat u toestemming heeft gekregen van de persoon, kan u dit dan aantonen? ?
5 a Indien gegevens van een persoon jonger dan 16 jaar worden vastgelegd, zorgt u dan voor toestemming van degene met ouderlijke verantwoordelijkheid? ?
  b Doet u redelijke inspanning om in dergelijke gevallen te controleren of die toestemming ook daadwerkelijk van degene is met ouderlijke verantwoordelijkheid? ?

 

    
Bijzondere persoonsgegevens 
    
1  

Indien u bijzonder persoonsgegevens verwerkt (ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid), heeft u dan voldaan aan de voorwaarden om dit wettelijk te mogen?

?
2   U verwerkt geen persoonsgegevens rond strafrechtelijke veroordelingen en strafbare feiten? ?
3   U verwerkt het BSN nummer alleen op de wijze waarop dit wettelijk is voorgeschreven? ?

 

    
Informatie en rechten
    
1   Indien u de persoonsgegevens direct van de betrokkene ontvangt. Geeft u dan de verplichte informatie aan de betrokkene wanneer deze hiervan nog niet op de hoogte is? ?
2   Indien u de persoonsgegevens niet direct van de betrokkene verkregen hebt, geeft u dan de verplichte informatie aan de betrokkene? ?
  a Verstrekt u deze informatie op het moment dat u het eerste contact heeft met betrokkene, binnen een maand nadat u de gegevens heeft ontvangen of het moment dat u de gegevens met een andere partij deelt?  
  b Inden u de informatie niet aan betrokkene geeft beschikt de betrokkene dan al over deze informatie of kost het onevenredige inspanning om deze informatie te verstrekken? ?
3   Heeft u een proces ingericht om aan een verzoek van een betrokkene te voldoen aan de voorgeschreven verplichting recht van inzage te geven? ?
4   Heeft u een proces ingericht om wijziging van onjuiste persoonsgegevens voor een betrokkene mogelijk te maken in uw eigen verwerkingen, maar ook die van derden waaraan u gegevens hebt verstrekt?  ?
5  

Heeft u een proces ingericht om te voldoen aan een verzoek van een betrokkene om alle persoonsgegevens te verwijderen wanneer de verwijdering ook daadwerkelijk mogelijk moet zijn in uw eigen verwerkingen, maar ook die van derden waaraan u gegevens hebt verstrekt?

 ?
6   Heeft u een proces ingericht om uitvoering te geven aan een beroep op recht op beperking in uw eigen verwerkingen, maar ook die van derden waaraan u gegevens hebt verstrekt? ?
7   Heeft u een proces ingericht om persoonsgegevens over te kunnen dragen aan een andere verwerkingsverantwoordelijke in een gestructureerde, gangbare en machineleesbare vorm wanneer een betrokkene hierom vraagt? ?
8   Heeft u een proces ingericht om bezwaar/verzet tegen een verwerking mogelijk te maken indien van toepassing? ?
9   Indien u besluiten neemt op basis van een geautomatiseerde verwerking (waaronder profilering), voldoet u dan aan de uitzondering die hiervoor gelden? ?

 

    
Verantwoordelijkheid
    
1   Heeft u een gegevensbeschermingsbeleid met daarin passende technische en organisatorische maatregelen om te waarborgen en aan te kunnen tonen dat de verwerking voldoet aan de eisen uit de wetgeving? ?
2   Worden de maatregelen uit dit beleid periodiek geëvalueerd en indien nodig geactualiseerd? ? 
3   Is het beleid ontstaan uit het inschatten van risico's waarbij rekening is gehouden met de aard, de omvang, de context en het doel van de verwerking? ? 
4   Indien er twee of meer verwerkingsverantwoordelijke zijn, is dan schriftelijk vastgelegd hoe gezamenlijk voldaan wordt aan de eisen vanuit de verordening? ?
5   Indien uw organisatie wel verwerkingsverantwoordelijke is, maar geen vestiging heeft binnen de EU, heeft u dan binnen de EU een vertegenwoordiger aangesteld die namens u naleving van de verordening waarborgt? ?
6   Zorgt u dat u, wanneer u een (nieuwe) verwerker betrekt bij de verwerking van persoonsgegevens, dat de verwerker in staat is passende technische en organisatorische maatregelen te bieden die voldoen aan de verordening en borging van de rechten van de betrokkene? ?
7   Heeft u een overeenkomst gesloten met de verwerker waarin u alle in de verordening vastgelegde onderdelen heeft geadresseerd en vastgelegd? ?

 

    
Ontwikkeling 
    
1   Heeft u een proces ingericht om te bepalen of een (voorgenomen) verwerking het uitvoeren van een Privacy Impact Assessment (PIA) noodzakelijk maakt? ?
2   Heeft u voor alle verwerkingen waarop de verplichting rust een PIA uit te voeren deze ook daadwerkelijk ten uitvoer gebracht? ?
3   Voldoet de door u gebruikte PIA aan de minimale eisen die gesteld worden vanuit de verordening vwb inhoud, uitvoering en vastlegging? ?
4   Heeft u een proces ingericht om een voorafgaande raadpleging bij te toezichthouder te doen indien uit de PIA blijkt dat de verwerking een hoog risico voor de betrokkene inhoud? ?

 

    
Register 
    
1   Houdt u als verwerkingsverantwoordelijke een register bij met daarin alle vereiste onderdelen zoals deze in de verordening zijn opgenomen? ?
    Houden uw verwerkers een register bij van de voor u uitgevoerde verwerkingen met daarin alle vereiste onderdelen zoals deze in de verordening zijn opgenomen?  ? 

 

    
Datalekken 
    
1   Heeft u een proces ingericht dat gevolgd wordt wanneer een (vermoedelijk) datalek gemeld/gevonden wordt? ?
2   Weten alle medewerkers hoe zij een melding moeten doen wanneer zij het vermoeden hebben van een datalek?  ? 
3   Is in beleid opgenomen wie verantwoordelijk is voor het te volgen proces en de communicatie met toezichthouder wanneer een datalek is vastgesteld of een vermoeden daartoe bestaat?  ? 

 

    
Functionaris voor de Gegevensbescherming (FG) 
    
1   Rust op u de verplichting om een FG in te stellen voor uw organisatie of heeft u de keuze gemaakt deze aan te stellen? ?
2   Heeft u voldoende zorg gedragen dat de FG in staat is onafhankelijk zijn taken uit te voeren? ?
3   Is het voor betrokkenen mogelijk om contact op te nemen met de FG? ?
4   Heeft u de taken voor de FG vastgelegd en bevatten die minimaal de taken zoals deze in de verordening zijn aangegeven? ?
5   Is er geen sprake van conflicterende belangen rond de taken en verplichtingen voor de FG wanneer deze ook andere taken uitvoert? ?

 

    
Gedragscodes 
    
1   Zijn voor uw specifieke branche gedragscodes rond privacybescherming van toepassing die zijn goedgekeurd door de Autoriteit Persoonsgegevens of diens rechtsvoorgangers? ?
2   Voldoet u aan de deze gedragscodes en kan u dat aantonen? ?

 

    
Doorgifte derde land of internationale organisaties 
    
1   Indien u persoonsgegevens doorgeeft aan derde landen of internationale organisaties, heeft u dan vooraf gecontroleerd of bij deze doorgifte de voorwaarden vanuit de verordening geborgd zijn? ?
2   Heeft u vooraf gecontroleerd of het betreffende land of organisatie al dan niet valt onder een  adequaatheidsbelsluit? ?
3   Indien geen adequaatheidsbesluit is afgegeven aan dat land of organisatie, heeft u dan gezorgd dat u voldoet aan de voorwaarden met betrekking tot passende waarborgen voor die doorgifte? ?
4   Indien de persoonsgegevens worden doorgegeven vanwege bindende bedrijfsvoorschriften, voldoen deze voorschriften dan aan de eisen die hieraan gesteld worden in de verordening? ?

DataProtection.Support is een jonge organisatie. Gespecialiseerd in de nieuwe wetgeving rond Privacy. Hierbij is het doel om bedrijven op een pragmatische en hands-on mentaliteit te ondersteunen bij het inrichten van een goed beleid en het nemen van de passende organisatorische en technische maatregelen om gegevens te beschermen.

Login Form

© 2017 DataProtection.Support. All Rights Reserved. Designed By JoomShaper