Voldoen aan de AVG in 7 praktische stappen
Sinds 25 mei 2018 is de Wet AVG van kracht, ook wel bekend als de GDPR. Dit is een nieuwe Europese wet voor databescherming. Het is belangrijk dat je aan de regels voldoet. Dan vraag je je natuurlijk af 'Wat moet ik dan doen?'. BG accountants zet een aantal stappen op een rijtje.
Voor wie geldt de AVG?
Ieder bedrijf dat persoonsgegevens verwerkt, moet zich aan deze wet houden. Ben je ondernemer, dan verwerk je al snel persoonsgegevens. Al is het maar een e-mailadres of BSN nummer. Op allerlei plekken binnen jouw organisatie bevinden zich persoonsgegevens en dus heeft iedere ondernemer (ongeacht de grootte) te maken met de AVG.
De wet bestaat eigenlijk al 2 jaar, maar er gold een overgangsperiode. Nu de wet sinds 25 mei van dit jaar echt van kracht is, moet je toch aan de bak. Doe je dat niet, dan riskeer je een boete. Maar waar moet je dan aan voldoen?
Als ondernemer moet je:
- Vastleggen hoe jij met persoonsgegevens omgaat. Je bent verplicht een dataregister aan te leggen. Dat kan bijvoorbeeld in de vorm van een Excel bestand waarin je vastlegt welke persoonsgegevens je beheert, waarom je die nodig hebt en wat je er mee doet.
- Jouw klant de mogelijkheid bieden om zijn of haar gegevens in te zien en eventueel te verwijderen. Maar je bent ook verplicht de gegegevens te verwijderen als je er zelf niks meer mee doet! Als iemand zich bijvoorbeeld uitschrijft voor een nieuwsbrief, dan moet je de gegevens van die persoon dus uit al je systemen verwijderen.
- Checken of jij te maken hebt met zogenaamde ‘Bijzondere Gegevens’ van je klanten, zoals geloof, seksuele geaardheid of ethische gegevens. Daar geldt namelijk weer een speciale procedure voor.
- Nagaan of jij het verwerken van bepaalde gegevens uitbesteedt aan een andere partij. Bijvoorbeeld iemand die voor jou nieuwsbrieven verstuurt of de salarisadministratie bijhoudt. Als dat zo is, dan moet je een verwerkingsovereenkomst met elkaar afsluiten.
Hoe pak je dat aan?
Stap voor stap! Om je op weg te helpen hebben, wij de stappen op een rijtje gezet.
Stap 1: Breng de persoonsgegevens van je bedrijf in kaart
Leg vast welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt. Je hebt een zogenaamde verantwoordingsplicht. Dat betekent dat je moet kunnen aantonen dat jouw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is daar een onderdeel van.
Stap 2: Zorg dat klanten kunnen doen waar ze recht op hebben
Door de AVG krijgen mensen van wie jij gegevens verwerkt meer privacy rechten. Zorg er daarom voor dat zij hun rechten makkelijk kunnen toepassen. Denk bijvoorbeeld aan het recht op inzage, het recht op correctie en het recht op verwijdering van gegevens. Bovendien moet je kunnen aantonen dat je toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken.
Stel je hebt een vacature en je ontvangt CV’s waarin persoonsgegevens staan. Dan ben je verplicht deze gegevens uit al je systemen te verwijderen als de sollicitant niet bij jou komt werken. Wil je zijn of haar gegevens toch in je portfolio bewaren voor een toekomstige functie? Dan moet je met elkaar afspreken hoe lang je deze gegevens mag bewaren en regelen dat je ze bijvoorbeeld na een half jaar verwijdert uit je systeem.
Stap 3: Betrek je medewerkers bij de uitvoering van de AVG
Zorg ervoor dat je personeel op de hoogte is van de nieuwe privacyregels. Zij moeten kunnen inschatten wat de impact van de AVG is en daar naar handelen. Ook bij de implementatie van nieuwe onderdelen of projecten, zie stap 7.
Stap 4: Bepaal of je een functionaris voor de gegevensbescherming moet aanstellen
Verwerk jij zogenaamde ‘Bijzondere Gegevens’ van je klanten, zoals geloof, seksuele geaardheid of ethische gegevens. Dan ben je verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Dat moet iemand zijn die geen beslissingsbevoegdheid heeft in jouw organisatie, maar wel kennis heeft van de nieuwe privacywet.
Stap 5: Besteed je de verwerking van gegevens uit?
Zijn er andere partijen met wie jij de persoonsgegevens van jouw klanten deelt? Bijvoorbeeld een accountantskantoor of een mediabureau? Dan zijn dit bewerkers van jouw klantgegevens. Een bewerker is niet zelf verantwoordelijk voor de verwerking van de gegevens, maar heeft wel een aantal afgeleide verplichtingen. Zoals beveiliging en geheimhouding van de gegevens. Heb jij onderdelen van de verwerking uitbesteed aan andere partijen? Check dan of de maatregelen in bestaande contracten voldoen aan de eisen van de AVG. Als dat niet zo is, moet je die aanpassen of een aparte verwerkingsovereenkomst opstellen.
Stap 6: Maak je organisatie voor de toekomst AVG-proof
Je hebt al een heleboel in kaart gebracht en bent al aardig op weg. Maar in de AVG staat ook nog een aantal verplichte uitgangspunten voor de toekomst. Zo moet je bijvoorbeeld bij het ontwerpen van nieuwe producten of diensten, technische maatregelen nemen om ervoor te zorgen dat je — standaard - alléén persoonsgegevens verwerkt die echt nodig zijn. Bijvoorbeeld door een app niet de locatie van gebruikers te laten registeren als dat niet nodig is of door op jouw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken. Maak je organisatie nu al vertrouwd met deze uitgangspunten!
Stap 7: Voorkom boetes!
Houd je je niet aan deze regels, dan riskeer je een fikse boete. Een boete krijg je trouwens ook als je verzuimt een datalek aan te geven. De meldplicht datalekken blijft onder de AVG bestaan en wordt zelfs nog aangescherpt. Dus komen jouw bedrijfsgegevens door een ongelukje op straat te liggen, meld dit dan direct!
Blijf up-to-date
Veel van deze informatie is afkomstig van De Autoriteit Persoonsgegevens (AP). Helaas zijn er nog steeds onderdelen van de nieuwe Europese wetgeving die nog niet helemaal duidelijk zijn. Daarom is het belangrijk om de ontwikkelingen op het gebied van de AVG te blijven volgen. Wij houden je zo veel mogelijk op de hoogte!
