Q&A over privacy bescherming. Ook het bedrijfsleven moet daarvoor zorgen onder de nieuwe AVG per 25 mei 2018.

Even mezelf kort voorstellen

Mijn naam is Hella Vercammen en ik ben jurist en directeur bij The Legal Company. Wij ondersteunen het MKB bij bedrijfsjuridische vraagstukken en problemen (arbeidsrecht, ondernemingsrecht, contractenrecht.) Onze dienstverlening aan het MKB  rondom het privacy recht wordt verleend vanuit onze zusteronderneming, The Legal Privacy Company (TLPC) in Amstelveen. Onze missie is om het MKB privacy proof te maken in verband met de wettelijke deadline van 25 mei 2018 uit de Algemene Verordening Gegevensbescherming (de AVG). Hieronder daarom de belangrijkste privacy AVG ins& outs in een Q&A op een rijtje.

Privacy, waar gaat dit eigenlijk over?

Juridisch betreft het een afweerrecht dat uw persoonlijke levenssfeer beschermt. De AVG gaat hier strikter op in en vervangt de Wet bescherming Persoonsgegevens vanaf 25 mei 2018.

De VanDale beschrijft dat recht op die persoonlijke levenssfeer o.a. als:

• Zelf bepalen wie welke informatie over ons krijgt.
• De wens onbespied en onbewaakt te leven.

Dat klinkt goed in deze steeds drukkere maatschappij met allerlei social-media, camera’s en computers die continu alles vastleggen wat u doet en zegt en nog nét niet wat u denkt. Waardevol om dit na te streven en te beschermen en daar uw bijdrage als ondernemer aan te leveren.

Waarom is uw privacy geld waard?

Uw persoonsgegevens zijn geld waard en dus komt uw privacy steeds meer in gevaar. Tezamen met de gegevens van anderen vormt dit de wereld van big data, en dat is nog nét geen bitcoin. Lijsten van deze gegevens worden verkocht óf gestolen (datalekken) voor commerciële doeleinden maar óók voor criminele doeleinden. Denk aan identiteitsfraude om er een uitkering mee aan te vragen, uw bankrekening te plunderen of zelfs om mee in te breken in uw huis door uw alarm uit te zetten met uw code.

De Europese Unie wilt voorkomen met de AVG dat onze vertrouwelijke gegevens in verkeerde handen komen door datalekken (door o.a. hacking, verlies van gegevens). Big data is immers ook big bad business.

Om welke privacy gegevens gaat het eigenlijk?

Het gaat niet alleen om uw NAW-gegevens zoals naam, uw e-mailadres, telefoonnummer en postcode maar ook om gegevens die herleidbaar zijn tot uw persoon zoals een kenteken of een IP adres. Verder gaat het om persoonlijke gevoelige gegevens en documenten, zoals uw seksuele geaardheid, uw paspoort, uw geheime gegevens zoals uw wachtwoorden of vertrouwelijke gegevens zoals uw medisch dossier of uw BSN-nummer.

Wat heeft privacy te maken met cybersecurity?

Cybersecurity heeft vooral te maken met de brede ICT technische beveiligingskant van de elektronisch opgeslagen persoonsgegevens maar ook van andere gevoelige data. Zoals geheime of vertrouwelijke bedrijfsgegevens waarin geen persoonsgegevens staan, bijv. uw cijfers of uw prijsberekeningen en marges, product ontwikkelingsdocumenten, software (bron)codes. Privacy gaat vooral om het waarborgen van het recht op geheimhouding van uw vertrouwelijke offline en online persoonlijke gegevens. Het gaat ook uw zelfbeschikkingsrecht daarover. Zoals het recht om te weten wat er allemaal wordt verzameld over u, het recht om vergeten te worden, etc. De AVG gaat om de plicht voor organisaties om die rechten beter te borgen in hun bedrijfsprocessen. Aangezien die rechten in gevaar komen als de cybersecurity van organisaties niet op orde is, is het nemen van “passende technische maatregelen” één van die verplichtingen van de AVG, maar zeker niet de enige verplichting! Er zijn ook juridische administratieve verplichtingen zoals het moeten aanleggen van een verwerkers- en beveiligingsincidentenregister, het moeten sluiten van verwerkersovereekomsten, het plaatsen van privacy statements op uw website, etc. Ook zijn er organisatorische maatregelen zoals het eventueel aanstellen van een functionaris gegevensbescherming, het doen van een special privacy impact assessment bij risicovolle (IT) projecten, het geven van privacy awareness trainingen aan uw personeel.

Maakt de AVG een onderscheid tussen corporates en het MKB, ZZP-ers?

Op juridisch vlak in principe niet. Alle organisaties moeten de AVG naleven, dus ook ZZP-ers en eenmanszaken. Het wordt voorzien en ik merk dat dagelijks, dat de invoering van de AVG (GDPR) problemen gaat opleveren voor het MKB. De AVG is abstract en complex en maakt geen direct onderscheid tussen grote ondernemingen en het MKB. Corporates hebben een batterij aan juristen maar het MKB heeft geen juristen in dienst en hebben geen tijd en geen grote budgetten. Dit terwijl de AVG net zo goed van MKB-bedrijven verwacht dat zij er zelf intern alles aan doen om de persoonsgegevens te beschermen.

Waar gelukkig wel rekening mee wordt gehouden is dat het gaat om “passende” technische maatregelen. Passend betekent namelijk naar draagkracht van het bedrijf! Dus een MKB-bedrijf zal niet dezelfde (dure) ICT technische maatregelen hoeven te nemen als een ziekenhuis of een Ahold.

Waarom zou mijn bedrijf aan de AVG willen voldoen?

1. Ten eerste is het een wettelijke plicht om alle beschermings- en veiligheidsmaatregelen te nemen die de AVG oplegt. Er staan flinke boetes op als u de wet niet naleeft.
2. Er is een (maatschappelijk) verantwoord ondernemersbelang om de privacy van uw klanten en werknemers te beschermen.
3. Het zal steeds meer een (kwaliteits)eis worden van uw contractspartners, vooral als u zaken doet met grotere partijen.
4. Het is een unique selling point in offerte trajecten.
5. In de DD onderzoeken van verkooptrajecten van bedrijven wordt steeds vaker gekeken of uw bedrijfsprocessen wel goed zijn ingericht om de AVG na te leven. Dit kan de waarde van uw onderneming aanzienlijk beïnvloeden.
6. Bedrijfsverzekeringen zoals de cybersecurity verzekeringen kunnen als eis stellen dat u kunt aantonen dat u AVG proof onderneemt.

Privacy proof zijn gaat dus niet alleen om wettelijke plichten maar ook om andere wezenlijke zakelijke belangen. Ook gaat het om maatschappelijk verantwoord ondernemen, immers u wilt in een privacy veilige omgeving kunnen leven.

TLPC helpt het MKB daarom graag om privacy verantwoord te ondernemen.

Hoe wordt mijn bedrijf privacy-proof?

Dit kan via de navolgende stappen:

1.    Start met een externe privacy (ICT) nulmeting. Ontdek waar uw organisatie staat en welke stappen en verbetertaken nog concreet ingezet moeten worden onder de AVG om 100% privacy proof te ondernemen.

2.    Maak gebruik van digitale tools die steeds meer op de markt verschijnen om verbetertaken uit de externe nulmeting gemakkelijker en betaalbaarder uit te voeren. Hiermee kan soms ook voldaan worden aan de verplichting in de AVG om alles te loggen. U heeft daarmee direct bewijs in handen dat u alle maatregelen heeft genomen en blijft nemen, richting te autoriteiten en derden om data lekken te voorkomen.

3.    Privacy consultancy huurt u in bij losse privacyvraagstukken bijvoorbeeld op het grensvlak van arbeidsrecht en privacy, of als u bijv. een screening nodig heeft van een verwerkersovereenkomst.

4.    Privacy trainingen en kennissessies zijn goed om te volgen om intern het kennisniveau over de privacywetgeving op peil te krijgen. Dat is belangrijk, immers uw mensen moeten de AV naleven en doorvoeren.

Op onze website vindt u uitgebreidere informatie over de ideale AVG implementatie tools van TLPC. Maak een afspraak en bel ons op 020-3450152 of mail ons op hvercammen@thelegalprivacycompany.nl als u ook privacy proof wilt worden.

Interessant artikel? Deel het: