1319x554-europa

AVG Wetgeving 9 Tips

Onze vrienden van Flexpedia hebben tips voor de AVG Wetgeving! Veel ondernemers schieten in de stress. Op 25 mei komt de AVG de hoek omzeilen. Vooral door de hoge boetes tot wel 20 miljoen euro, zit de schrik er goed in. Hoog tijd om orde te scheppen in de AVG chaos. We proberen jou te helpen en handvatten te geven om je wegwijs te maken in de AVG tsunami die door Nederland raast. Vooruitlopend op ons interview met juriste en privacy-expert Inge Brattinga van VRF Advocaten, waarin we de ‘diepte ingaan’ met praktische voorbeelden, zetten we nu alvast enkele zaken voor jou op een rij.

Is de stress voor hoge boetes reëel wanneer je op 25 mei nog niet helemaal AVG-proof bent?
Nee! Laat je niet gek maken door die hoge boetes. De Autoriteit Persoonsgegevens gaat niet met extreme boetes strooien wanneer jij als mkb ondernemer op 25 mei nog niet volledig AVG-proof bent. Het gaat erom dat je als organisatie bewust bent van jouw privacy zorgplicht en actief aan de slag gaat met het beschermen van persoonsgegevens. En dat je dat vanaf 25 mei kunt aantonen. Olaf van Haperen, managing partner en hoofd van de IT/privacy-praktijk van Kneppelhout & Korthals Advocaten zegt hierover in zijn blog:

“Zie 25 mei 2018 als het moment waarop jouw organisatie deze nieuwe privacy zorgplicht moet hebben omarmd, dat je hiermee aantoonbaar aan de slag bent gegaan. Het moet een voortdurend proces zijn en niet iets dat ‘af’ is op die datum. Uiteraard vraagt dit van organisaties aandacht en voorbereiding vóór deze datum.”

Kortom: geen paniek, maar zorg dat je wel de eerst stappen vóór 25 mei hebt gezet.

Is de AVG ook van toepassing voor (kleine) mkb ondernemingen?
Ja. Elk bedrijf, organisatie, stichting of instelling die persoonsgegevens verzamelt, bewaart en gebruikt, krijgt te maken met de AVG. Jij dus ook. Denk bijvoorbeeld aan jouw sales medewerker die offertes maakt voor potentiële klanten en dus gegevens van die potentiële klant in een klantenbestand verzamelt en gebruikt. Of je stuurt e-mail nieuwsbrieven naar potentiële klanten of jouw HR-medewerker die werving- en selectie gegevens van sollicitanten nodig heeft om zijn of haar job uit te oefenen. Van multinational tot eenmanszaak: de AVG geldt voor elke organisatie.

De AVG gaat dus over bescherming van persoonsgegevens. Welke gegevens zijn dat?
De wet formuleert het als volgt: Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. In duidelijkere taal: persoonsgegevens zijn onder andere de naam, adres, telefoonnummer, foto’s van personen, IP-adressen, de gegevens die in je klantenbestand staan, e-mailadressen die je gebruikt voor je e-mailnieuwsbrief, etc.

Let op: dit zijn ‘gewone’ persoonsgegevens. De wet maakt onderscheid in gewone en bijzondere persoonsgegevens. Onder bijzondere persoonsgegevens verstaan we ‘gegevens die de privacy ernstig kan schaden’ zoals iemands ras, geloofsovertuiging, gezondheid, burgerservicenummer en seksuele voorkeur. Het verzamelen, verwerken en beveiligen van deze gegevens gelden strengere regels. In onze volgende AVG blog komen we hierop terug.

Waarom die AVG? We hebben de Wet bescherming persoonsgegevens (Wbp) toch al?
Klopt. De AVG vervangt vanaf 25 mei de Wbp. Dit komt omdat de Europese Unie vindt dat door de digitalisering van de wereld de persoonsgegevens en dus de privacy van burgers, klanten en medewerkers/personeel, beter beschermd moet worden. Op zich niet gek. Want misbruik van de persoonsgegevens? Tsja! Voorbeelden genoeg. Zoals laatst met het schandaal rond Cambridge Analytica – het bedrijf dat misbruik maakte van de data van meer dan 50 miljoenen Facebookgebruikers om zo politieke campagnes te voeren voor Trump. Privacy-expert Joppe Duindan beaamt de privacy problemen. In een AVG kennis-sessie van Bouwend Nederland kaartte hij de risico’s, met opmerkelijke cijfers, nog eens aan:

“Als persoon kom je in minstens 250 databases ( ! ) voor. De kans op misbruik van die data groeit; vandaar ook de noodzaak voor betere bescherming.”

Wat is het belangrijkste dat ik als mkb ondernemer moet doen om op 25 mei AVG-proof te zijn?
Het is geweldig wanneer je op 25 mei volledig AVG-proof bent. Maar zoals gezegd is 100% AVG-proof op die datum voor veel organisaties nauwelijks haalbaar. Waar je in ieder geval volgens de experts wel voor moet zorgen is dat je op 25 mei kunt aantonen dat je flinke stappen hebt gezet én dat je voldoet aan de verantwoordingsplicht. In Jip & Janneke-taal betekent dit: dat jij als ondernemer of organisatie je kunt verantwoorden dat jij bewust bent van jouw privacy zorgplicht en actief aan de slag bent gegaan met het beschermen van persoonsgegevens binnen jouw organisatie door bijvoorbeeld het samenstellen van een privacy-register.

Huh? Privacy-register voor mkb ondernemingen?
Volgens advocaat en privacy-expert Jeroen Sprangers gaat het erom dat je in ieder geval op 25 mei beschikt over een privacy-register. In een blog op het nieuws-netwerk van ondernemend Noord-Nederland zegt hij:

“Het belangrijkste is dat je een privacy-register bijhoudt waarin staat welke gegevens je van wie bewaart, wat je er mee doet en hoe je die gegevens beschermt.”

Dit is iets te kort door de bocht. Beter is om in zo’n privacy-register óók te vermelden wat het doel is van het verzamelen van de persoonsgegevens en hoe je toestemming hebt verkregen om die gegevens te verzamelen en of je die gegevens ook deelt met andere bedrijven. Breng in kaart welke gegevens vallen onder gewone en bijzondere persoonsgegevens en maak een onderverdeling in:

1] Personeelsgegevens 2] Klantgegevens 3] Andere persoonsgegevens zoals die van leveranciers, relaties. Zo houd je overzicht en zet je stappen in de goede richting.

TIP: Omschrijf in een document (in word of excel), hoe en welke persoonsgegevens binnen jouw organisatie worden verzameld, met welk doel die gegevens worden verzameld, wie die gegevens in jouw organisatie mag gebruiken, hoe ze dat doen, en hoe die gegevens worden beveiligd. Vergeet daarbij niet te omschrijven de wijze waarop je toestemming van die persoon hebt verkregen om zijn of haar gegevens te verzamelen. Vooral wanneer het om bijzondere persoonsgegevens gaat zoals bijvoorbeeld het burgerservicenummer. Wanneer de Autoriteit Persoonsgegevens erom vraagt, dien je jouw privacy-register te laten zien.

TIP: Jij beschikt vast wel over een omschrijving van de bedrijfsprocessen in je onderneming. Anders gezegd; een soort draaiboek of handboek van je toko met daarin informatie over wie doet wat en hoe. Gebruik deze procesbeschrijving om na te gaan welke persoonsgegevens jij in dat proces verzamelt en verwerkt. Gebruik dit als basis voor jouw privacy-register. Dit is een goede start om de eerste stappen te zetten om orde te scheppen in de AVG chaos. Gebruik informatie uit je privacy-register om vervolgens een privacybeleid te omschrijven. Jouw privacybeleid zet je vervolgens duidelijk zichtbaar op je website. Veel ondernemingen doen dat in de footer (die ‘balk’ onderaan je website) onder het kopje Privacybeleid.

Grote toko met meer dan 250 medewerkers? Wat dan?
Run je als ondernemer een grote toko met meer dan 250 medewerkers op de loonlijst, dan krijg je te maken met extra verplichtingen. Deze kwestie parkeren we even tot de volgende blog post. Ook de ins & outs over het opstellen van verwerkersovereenkomsten komen dan aan bod.

*TIP: Met de komst van de AVG vliegen nieuwe termen je om de oren. De meest gebruikte hebben we in een handige AVG verklarende woordenlijst verzameld. Flexpedia-klanten kunnen deze woordenlijst gratis aanvragen via het e-mailadres onderaan deze blog.

Om je meer inzicht te geven in de AVG chaos hebben we een handige verklarende woordenlijst samengesteld. Dit document (PDF-file) kun je gratis aanvragen door een e-mail te sturen naar [email protected]

Tags: No tags
7

Comments are closed.