25 mei 2018. De dag waarop in de Europese Unie één privacywet geldt. Vooraf heerste er vooral paniek. Wat mag nog wel en wat niet meer? Hebben we nu écht overal toestemming voor nodig? Velen vreesden het ergste. En toen werd het 25 mei 2018. De wereld draaide gewoon door en het was een dag zoals alle andere dagen. In de wandelgangen klinkt nu vooral opluchting: het valt allemaal wel mee. Die AVG, dat is maar een storm in een glas water en veel ophef om niets… Of toch niet?
Nee, toch niet. En sterker nog, niets doen is geen optie. Zes maanden na dato heeft de Autoriteit Persoonsgegevens (dé privacy-waakhond) alles behalve stilgezeten. Een paar feiten op een rij:
Kortom: de AVG is zeker geen storm in een glas water. De Autoriteit Persoonsgegevens is wel degelijk begonnen met de controle op de naleving van de AVG. Hoewel controle zich nu nog vooral richt op de grote organisaties en bedrijven, is het controleren van kleinere organisaties en MKB bedrijven slechts een kwestie van tijd. Zorg daarom dat ook jouw organisatie of onderneming AVG proof is.
Maar… hoe word je dan AVG proof? Graag zet ik uiteen welke stappen jij echt nog moet zetten.
Een goede eerste stap is het opstellen van een verwerkingsregister. Elke organisatie of onderneming die persoonsgegevens verwerkt is verplicht een verwerkingsregister op te stellen. Tenzij je op (zeer) incidentele basis persoonsgegevens verwerkt. Maar dit is in de praktijk zelden het geval. In het verwerkingsregister registreer je alle verwerkingsactiviteiten binnen jouw organisatie: welke persoonsgegevens verwerk je en met welk doel? Met wie worden de gegevens gedeeld? Welke maatregelen heb je getroffen om de persoonsgegevens te beveiligen? Op verzoek van de Autoriteit Persoonsgegevens ben je verplicht het verwerkingsregister te verstrekken.
Een tweede stap is het opstellen en hanteren van een privacyverklaring. De AVG legt op jou namelijk een informatieplicht. Je bent verplicht om bijvoorbeeld nieuwe en bestaande klanten te informeren wat jij met hun persoonsgegevens doet en waarom. Je kunt aan je informatieplicht voldoen door het publiceren van een online privacyverklaring. Denk bij de informatieplicht overigens niet alleen aan je klanten, maar ook aan bijvoorbeeld leveranciers en werknemers.
Sluit verwerkersovereenkomsten met de zogeheten ‘verwerkers’: partijen die in opdracht van jou persoonsgegevens verwerken. Denk hierbij in ieder geval aan jouw administratiekantoor of jouw softwareleverancier.
Hoe ga jij om met een klant die een verzoek tot inzage van zijn persoonsgegevens doet? Of met een ex-werknemer die een beroep doet op zijn recht tot vernietiging van zijn persoonsgegevens? Het is verstandig om vast te leggen of én hoe je aan dergelijke verzoeken gehoor moet geven. En hoe moet je handelen bij een datalek? Wanneer is het nodig om een datalek te melden aan de Autoriteit Persoonsgegevens en/of aan de betrokken personen? Door dit en meer vast te leggen creëer je een intern privacybeleid wat jou handvaten biedt en waar je indien nodig op kunt terugvallen.
Waarschijnlijk denk jij dat de AVG je vooral ‘tot last’ is. De AVG biedt echter ook juist kansen en voordelen voor jouw organisatie of onderneming. Door het opstellen van een verwerkingsregister creëer je allereerst bewustzijn: welke persoonsgegevens verwerk ik allemaal en waarom doe ik dat eigenlijk? Heb ik alle persoonsgegevens wel écht nodig? Bewaar ik niet onnodig een boel ballast? Daarnaast zorgt het publiceren van een privacyverklaring voor een professionele uitstraling van jouw organisatie of onderneming.
Zie je door de bomen het bos niet meer of weet je niet hoe te beginnen? Neem dan contact met ons op via 038 333 75 74 of info@felix.nl. Ons kantoor helpt jou graag verder!