Een goed startpunt is de De regelhulp van van de Autoriteit Persoonsgegevens. Als u dit stappenplan doorloopt krijgt u een duidelijke lijst van actiepunten. In de meeste gevallen heeft u een aantal documenten en procedures nodig:
- Een privacyverklaring op uw website
- Een register verwerkingsactiviteiten en een register datalekken en beveiligingsincidenten
- Verwerkersovereenkomsten met iedereen die persoonsgegevens, waarvoor u verantwoordelijk bent of die u verwerkt
- In de meeste gevallen een cookiemelding op uw website (er zijn uitzonderingen bij een correcte instelling van Google Analytics)
- Als u nieuwsbrieven verstuurt heeft u bewijs nodig dat alle abonnees zichzelf hebben aangemeld (dubbele opt-in)
Privacyverklaring
Voor de privacyverklaring kunt u gebruik maken van deze Privacyverklaring generator op de website veiliginternetten.nl. Als u hiermee een document heeft opgesteld kunt u dit bijvoorbeeld in de footer van uw website plaatsen.
Registers verwerkingsactiviteiten en datalekken
Voorbeelden hiervan zijn te downloaden bij de Nederlandse Orde van Advocaten: https://www.advocatenorde.nl/dossier/gegevensbescherming-avg/modellen-avg
Verwerkersovereenkomsten
Voorbeelden van verwerkersovereenkomsten zijn op dezelfde pagina beschikbaar: https://www.advocatenorde.nl/dossier/gegevensbescherming-avg/modellen-avg
Cookiemelding
U heeft bijna altijd een cookiemelding nodig tenzij uw website geen persoonsgegevens registreert via de cookies. Dit is o.a. te bereiken door geen Social Media buttons op uw website te plaatsen en Google Analytics niet te gebruiken óf op een speciale manier in te stellen. De Autoriteit Persoonsgegevens heeft hier een handleiding voor. Als u er niet uitkomt helpen wij u graag. In andere gevallen heeft u een cookiemelding nodig. Nieuw is dat dit geen cookiewall mag zijn, d.w.z. dat de website ook toegankelijk moet blijven als een bezoeker niet akkoord gaat met het plaatsen van cookies. We helpen u hier graag verder mee.
Nieuwsbrieven
Als u (incidenteel) nieuwsbrieven verstuurt moet u kunnen bewijzen dat uw abonnees zich zelf aangemeld hebben. In de praktijk gebeurt dit via een dubbele opt-in procedure. Als u dit niet heeft dan moet u uw abonnees vragen om zich opnieuw actief aan te melden. En daar zit een catch. Als u dit na 25 mei 2018 doet, bent u met die nieuwsbrief strikt genomen in overtreding.