Selecteer een pagina

AVG… moet ik daar ook wat mee?

door | 1 mrt, 2018 | Algemeen

Dag(en)

:

Uur(s)

:

Minute(s)

:

Second(s)

Ieder bedrijf heeft te maken met de nieuwe privacywetgeving

Van klein tot groot, ieder bedrijf of stichting heeft te maken met persoonsgegevens en dus zal je per 25 mei 2018 aan deze nieuwe wetgeving moeten voldoen. De Autoriteit Persoonsgegevens, als toezichthouder, heeft de mogelijkheid tot het opleggen van forse boetes, oplopend tot € 20.000.000,- of 4% van de jaaromzet bij forse overtredingen. Het is dus raadzaam om actie te ondernemen. Je krijgt niet zomaar deze forse boete, maar ook een kleinere boete weegt niet op tegen de tijd en moeite die je er nu in kan stoppen. En wat te denken van de imagoschade…

Wat is de AVG?

AVG staat voor Algemene Verordening Gegevensbescherming. De Engelstalige term is GDPR (General Data Protection Regulation), wellicht dat je deze term ook wel voorbij hebt zien komen.

Deze privacywetgeving zorgt ervoor dat binnen heel Europa op dezelfde manier met persoonsgegevens omgegaan moet worden. En deze wetgeving heeft invloed op elke onderneming die persoonlijke data gebruikt van Europese burgers.

Wil je er alles van weten, dan kun je terecht op de site van Autoriteit Persoonsgegevens.

Nadeel van die site is dat er wel heel veel op te vinden valt. Graag leg ik je in negen stappen uit wat je concreet kunt doen. 

 

Stap 1: Maak een overzicht

Hoe lopen alle datastromen die persoonsgegevens bevatten?

Maak overzichtelijk (en houd actueel) waar welke persoonsgegevens worden vastgelegd, waarvoor deze dienen, wie er toegang (ook extern?) toe heeft en hoe lang ze bewaard worden.

Dit wordt vanuit de AVG niet verplicht gesteld voor kleinere bedrijven, maar ik raad het wel iedereen aan. Een dergelijk overzicht maakt namelijk eenvoudig duidelijk hoe de stroom in elkaar steekt. Verder zorgt dit meteen voor bewustwording dat sommige vanzelfsprekendheden  aandacht behoeven.

Denk aan e-mail verkeer, sociale media, inschrijfformulier voor je nieuwsbrief, de boekhouder, de back-up naar de cloud, IP gegevens voor Google Analytics etc.

Ga verder na of er bijzondere persoonsgegevens worden verwerkt, zoals medische gegevens, religieuze gegevens, BSN, e.d. (meer informatie). Als dit het geval is, zijn er strengere eisen gesteld. Aangezien deze behoorlijk specifiek zijn, ga ik hier in deze blog niet verder op in.

Op welke apparaten en applicaties werk je met persoonsgegevens? Wellicht bewaar je nog ergens papieren met persoonsgegevens in een kast? Zijn er koppelingen, of transfers tussen systemen, of tussen derden? Wie heeft hier toegang toe? Hoe lang wordt deze data bewaard? Maak ook dit overzichtelijk en bekijk per punt of dit voldoende is beveiligd. Of moeten er aanpassingen plaatsvinden. En zijn er procedures ingericht die de apparaten en applicaties up to date houden en dus de risico’s beperken?

Ik zal je een aantal voorbeelden geven:

  • Wanneer je formulieren op je website hebt staan, waar persoonsgegevens ingevoerd worden, dan dien je de verbinding te beveiligen met encryptie; SSL certificaat.
  • Als je een webshop hebt die natuurlijk persoonsgegevens vastlegt, dan moet je ervoor zorgen dat het systeem onderhouden wordt en dus voorzien is van de laatste security patches.
  • Als je als zelfstandige regelmatig in koffiezaken werkt en daar gebruik maakt van het openbare wifi netwerk, dan is het zeker raadzaam om bijvoorbeeld gebruik te maken van een beveiligde VPN verbinding.
  • Laat wachtwoorden niet slingeren op je bureau, schrijf ze niet op een geeltje en plak ze niet op de rand van je beeldscherm. Gebruik sterke wachtwoorden en bijvoorbeeld een wachtwoordkluis als KeePass.
  • Wanneer je op je website het bezoek analyseert met Google Analytics worden standaard IP-gegevens geregistreerd. Meld dit in een cookie-melding, of maak aanpassingen binnen Analytics waardoor dit niet hoeft, door het anonimiseren van de IP-gegevens.

Stap 2: Maak afspraken met partijen waarmee je data deelt

Wanneer je met andere partijen persoonsgegevens deelt, dien je na te gaan of de bestaande overeenkomst al “AVG-proof” is. Zo niet, dan dien je een verwerkersovereenkomst af te sluiten. In de verwerkersovereenkomst moeten onder meer afspraken worden vastgelegd over de omgang met persoonsgegevens, de beveiliging en de meldplicht datalekken.
Ga na of de andere partij al een verwerkersovereenkomst heeft opgesteld en controleer of deze aan jouw eisen voldoet. Dat scheelt weer een hoop tijd.

Stap 3: Maak een privacy policy

Stel een privacyverklaring op, plaats deze bijvoorbeeld in de footer van je website en zorg ervoor dat betrokkenen naar de privacyverklaring worden verwezen bijvoorbeeld via een link op (inschrijf)formulieren, brieven of overeenkomsten.

De overheid heeft een generator beschikbaar gesteld:

Privacyverklaring generator.

Stap 4: Privacy by design & privacy by default

Dit zijn ook twee termen die je veel terug ziet komen wanneer je informatie zoekt over de AVG.

Privacy by design

Bij het ontwerpen van (nieuwe) processen moeten deze zo ingericht worden dat privacy de aandacht krijgt die het nodig heeft. Dus wanneer een koppeling met een extern systeem nodig is, dat hier standaard een beveiligde verbinding voor wordt gebruikt. Of dat je opneemt in het contract van een nieuwe medewerker dat deze zich houdt aan de eisen van je beleid, dus dat de medewerker geen wachtwoorden op een blaadje schrijft. Of de pc vergrendelt wanneer hij er niet achter zit.

Privacy by default

Dit is zeer verwant aan het vorige onderwerp, maar hier kun je denken aan een webshop, waar soms standaard het vinkje voor het abonneren op de nieuwsbrief aanstaat bij het afrekenen. Dit mag dus niet meer. De betrokkene moet altijd expliciet akkoord gaan met zoiets en jij moet dit ook aan te kunnen tonen.

Een ander voorbeeld is het monitoren en registreren van het bezoek op een website. Wanneer hier persoonsgegevens worden opgeslagen, dan moet de betrokkene hier akkoord voor geven, dus in veel gevallen ben je verplicht dit te melden (cookiemelding) en pas nadat er akkoord is gegaan, mag de registratie starte

Stap 5: Stel een procedure op voor meldplicht bij datalekken

Wanneer een datalek is geconstateerd, ben je verplicht deze binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Tenminste als het om een lek gaat die tot nadelige gevolgen kan leiden van de betrokkene. Als het dusdanig ernstig is, dan heb je ook de verplichting de betrokkene te informeren.

Om dit te kunnen bepalen, zijn er richtlijnen opgesteld.

Stap 6: De betrokkene heeft rechten

Een van de grootste wijziging in de wetgeving zijn de rechten die de betrokkene krijgt en jij moet hier gehoor aan geven.

  • De betrokkene mag vragen welke persoonsgegevens van hem verzameld zijn. Je moet dit binnen een maand op leveren.
  • Als de gegevens niet (meer) correct zijn, heeft de betrokkene het recht om de gegevens aan te passen.
  • De betrokkene heeft het recht om “vergeten” te worden. Zijn gegevens moeten, voor zover wettelijk mogelijk, worden gewist.
  •  De betrokkene mag zijn gegevens opvragen, zodat deze op een andere plek (door een andere partij) verwerkt kunnen worden. Deze gegevens moeten in een gangbare vorm worden aangeleverd.

Zorg ervoor dat je weet wat je moet doen, wanneer er een verzoek komt.

Stap 7: Deel je gegevens buiten de EU?

Denk aan de techneut die vanuit India op je systeem inlogt, of de back-up die in de VS staat.

Zo ja, dan gelden extra eisen. Voor dit specifieke geval verwijs ik je voor meer informatie door naar de Autoriteit Persoonsgegevens. Doorgifte buiten EU.

Stap 8: Functionaris voor de Gegevensbescherming nodig?

Voor sommige organisaties ben je verplicht een Functionaris voor de Gegevensbescherming aan te wijzen. Dit is niet afhankelijk van de grootte van het bedrijf, maar het is niet aannemelijk dat dit hoeft voor zzp’ers, of kleinere bedrijven.

Het is wel verplicht voor:

  • overheidsinstellingen en publieke organisaties
  • organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen,
    zoals het stelselmatig observeren van personen
  • organisaties die hoofdzakelijk zijn belast met het grootschalig verwerken van
    bijzondere persoonsgegevens.

Stap 9: Garanties

Wie voorgaande stappen volgt en bovendien de richtlijnen van zijn beroepsvereniging volgt, zit doorgaans wel goed. Wil je garanties dat je alles juridisch compleet hebt dichtgespijkerd, laat dan de zaken checken door een jurist.

Wat deze nieuwe wetgeving doet, is je bewust maken van je verantwoordelijkheid en helpt je meteen een aantal zaken op orde te brengen. Het is wellicht wat betuttelend en vergt behoorlijk wat tijd en hoofdbrekens, maar als het eenmaal staat, hoef je het alleen maar bij te houden. En heb je, voor zover dat niet al het geval was, een veilige omgeving. 

Ik kan je helpen om je bedrijf AVG-proof te maken, de risico’s te inventariseren en op te lossen. 

Ondersteuning, of meer informatie nodig?

neem vrijblijvend contact op

Contact