Nieuws Data

In 7 stappen klaar voor de AVG

Op 25 mei treedt de Algemene Verordening Gegevensbescherming in werking. De vernieuwde privacywetgeving heeft voor ondernemers nogal wat voeten in de aarde. Nog niet klaar? Dan is het tijd om vaart te maken.

Anna Neeltje de Boer 18 mei 2018

7 stappen AVG GDPR

Wat houdt die AVG ook alweer precies in?

Door je OV-chipkaart weet de NS welke treinen je neemt. Je bonuskaart van de Albert Heijn zorgt ervoor dat de supermarktketen precies weet welke boodschappen je meestal in huis haalt en Google Maps legt vast welke routes je wanneer rijdt. Om te voorkomen dat er misbruik van die gegevens wordt gemaakt en om je privacy te waarborgen is de Algemene Verordening Gegevensbescherming (AVG)- in het Engels de General Data Protection Regulation (GDPR) - in het leven geroepen.

Wat betekent dat voor mij?

Heb je als ondernemer te maken met het verwerken van persoonsgegevens. Pas dan je werkwijze aan en wel op tijd. Voldoe je niet aan de nieuwe privacywetgeving, dan kan dat een fikse boete opleveren. De sancties van 20 miljoen euro of 4 procent van je (wereldwijde) omzet liegen er niet om. Als we recente cijfers van MKB Service Desk moeten geloven is 70 procent van het MKB nog niet klaar met hun maatregelen voor de nieuwe Europese Wetgeving, dus tijd om er even gas achter te zetten.

Tip 1: verwerk zo min mogelijk data

Je mag gegevens alleen bewaren als dat strikt noodzakelijk is. Het kost uren, dus geld en tijd om dat goed uit te zoeken, maar so be it. Liever dat dan een boete. Bij meer dan 250 werknemers ben je verplicht de gegevens die je bewaart, nauwkeurig bij te houden in een verwerkingsregister. De regels bij kleinere bedrijven lijken soepeler, maar het is altijd verstandig om een register bij te houden, omdat er allerlei uitzonderingen zijn. Hebben de data een hoog privacyrisico of is de verwerking niet-incidenteel? Ook dan ben je verplicht bij te houden welke gegevens je verzameld, met welk doel en hoelang je deze informatie houdt.

Tip 2: beheer de gegevens zorgvuldig

De informatie mag niet zomaar gedeeld worden met derden. Als dit wel gebeurt, moeten de betrokkenen hiervan op de hoogte zijn.

Tip 3: wijs je klanten op hun recht van inzage

Recht op inzage en de verwijdering ervan om precies te zijn. Het staat vast dat je daartoe vanaf de 25e verplicht bent.

Tip 4: stel een ‘functionaris voor de gegevensverwerking’ aan

Het geldt niet voor elke onderneming, maar het kan maar net zo zijn dat je verplicht bent om deze functionaris aan te stellen. Hij of zij houdt toezicht op de toepassing en naleving van de AVG en is tevens de contactpersoon Autoriteit Persoonsgegevens.

Tip 5: voer een Privacy Impact Assessment uit

Door een Privacy Impact Assessment, kortweg PIA, uit te laten voeren, toets je welke gevolgen jouw manier van gegevensverwerking hebben op de privacy van jouw klanten en hoe jij die impact kunt verkleinen. Je kunt er ook voor kiezen om in beleidsregels vast te leggen hoe je een datalek herkent en hoe werknemers moeten handelen als zoiets gebeurt.

Tip 6: zorg ervoor dat je producten of diensten geen data registreren

Eerder liet je misschien gegevens, zoals de locatie van gebruikers, via een app bij houden. Dat mag niet meer. Ook is het niet meer toegestaan om op een website opties als ‘Ja, ik wil aanbiedingen ontvangen’ alvast aan te klikken. Het gaat dus verder dan nieuwsbrieven alleen.

Tip 7: schakel – zo nodig – hulp in

In een groot bedrijf is het wellicht makkelijker om op de nieuwe wetgeving te anticiperen dan in een klein bedrijf. Toch kost het de nodige inspanning en kun je rekenen op vragen van klanten. Zorg daarom dat, als je er de mankracht op de werkvloer niet voor hebt, je hulp inschakelt van buitenaf.