De AVG vervangt de Wet Persoonsgegevens en is een Europese richtlijn die in alle lidstaten zal gelden. Marcia Geerts van Advocatenkantoor Geerts: “Elk bedrijf moet een beleid opstellen waarin staat hoe er omgegaan wordt met particuliere persoonsgegevens. We hebben het dan over de interne kant: je medewerkers en de externe kant: je klanten.”
Lees ook: Zes vragen en antwoorden over de AVG
Interne privacyregeling
Voor zzp’ers valt het interne stuk weg, maar bedrijven met werknemers in dienst moeten nadenken over de manier waarop ze persoonsgegevens verwerken en waarom ze dat op die manier doen. Dit stel je op in een interne privacyregeling. Hierin staat bijvoorbeeld waar de arbeidscontracten zich bevinden en hoe er met de gegevens van werknemers wordt omgegaan. Gedurende het dienstverband, maar ook erna. Bij uitdiensttreding moet ook naar derden, zoals de loonadministratie, gecommuniceerd worden dat de gegevens van werknemers ‘vergeten’ moeten worden. Dit leg je weer vast in een verwerkersovereenkomst.
Toestemming van de klant
In het geval van klanten gaat het over het verwerken en bewaren van hun gegevens. Zij moeten op je website gemakkelijk het privacyreglement kunnen vinden. Heb je geen website dan moet je een document opstellen waarin staat welke gegevens je van je klanten hebt en met welk doel je deze gebruikt. Geerts: ”Vraag toestemming aan de klant via de mail. Of als je bijvoorbeeld een webshop hebt, kun je via een digitale opdrachtbevestiging een paragraaf toevoegen waarin klanten hun toestemming kunnen aanvinken.”
Lees ook: Hoge boetes als maatregel tot handhaving AVG
Algemene voorwaarden
Op internet zijn legio voorbeelden van privacyreglementen en verwerkersovereenkomsten te vinden, maar Geerts adviseert deze niet klakkeloos over te nemen. “Het is net als met algemene voorwaarden. Als die niet in orde zijn, kan je dat als het zover komt een heleboel geld kosten, terwijl professionals voor het opstellen van passende en kloppende reglementen echt niet zoveel rekenen. Standaard formats van brancheverenigingen - bijvoorbeeld in de makelaardij - kun je wat mij betreft wel vertrouwen.”
Reglementen naleven
Heb je dat privacystatement en de verwerkersovereenkomst opgesteld en getekend teruggekregen, dan ben je nog niet klaar. Geerts: “Dat is deel een, de voorkant. Deel twee houdt in dat je laat zien hoe je met de wetgeving omgaat en dat je de opgestelde reglementen ook daadwerkelijk naleeft. Hiervoor is het zaak om je medewerkers goed in te lichten over de regels met betrekking tot privacy binnen het bedrijf. Ik adviseer om die reglementen vast te leggen in een handboek en via een checklist te borgen dat er uitvoering aan gegeven wordt.”
25 mei
25 mei komt rap dichterbij. Ben je als bedrijf nog niet begonnen met de voorbereiding op de AVG, dan wordt het krap, aldus Geerts. “Maar als het op 25 mei nog niet helemaal staat en je hebt het bijvoorbeeld op 5 juni wel allemaal op orde, dan loop je waarschijnlijk nog niet direct een risico. Het belangrijkste is namelijk hoe je ermee omgaat. Wel is het zaak om er zo snel mogelijk mee aan de slag te gaan. Doe je het nu niet, dan vergeet je het en kan het goed zijn dat je het over een jaar vergeten bent. Dan kun je zomaar een groot probleem hebben.”
