Ben jij klaar voor de Algemene Verordening Gegevensbescherming? (stappenplan!)
15 december 2017 15:55
Weet elke mkb-ondernemer dat vanaf 25 mei 2018 dezelfde privacywetgeving in de hele EU geldt? Is zij zich ervan bewust dat de organisatie meer verplichtingen heeft bij het verwerken van persoonsgegevens en wat de eigen verantwoordingsplicht is? Mignon Nicolai, Head Of Legal Affairs bij Voiceworks in Almere praat de lezers van Hét Ondernemersbelang bij over deze ingrijpende veranderingen in de wet.
Op genoemde datum treedt de zogenoemde General Data Protection Regulation (GDPR) in werking. In het Nederlands wordt deze wet de Algemene Verordening Gegevensbescherming (AVG) genoemd. “De privacyrechten van mensen van wie persoonsgegevens worden verwerkt worden uitgebreid en versterkt”, zegt Mignon. “Het is van belang dat organisaties zichzelf op de AVG voorbereiden.”
“Elke organisatie die persoonsgegevens verwerkt moet voldoen aan de nieuwe verplichtingen. Persoonsgegevens verwerk je al op het moment dat je telefoonnummers en/of adresgegevens van klanten bijhoudt, wanneer klanten zichzelf inschrijven voor de nieuwsbrief van je organisatie of in de organisatie zelf wanneer deze personeelsinformatie bijhoudt. Het mkb krijgt een verantwoordingsplicht. De organisatie moet vanaf 25 mei 2018 kunnen aantonen welke technische en organisatorische maatregelen zij heeft genomen om te voldoen aan de AVG.”
"Creëer inzicht en zorg ervoor dat de juiste mensen binnen de organisatie van de nieuwe privacyregels op de hoogte zijn"
“Indien organisaties niet voldoen aan de AVG, riskeren ze grote boetes. Deze boetes kunnen tot een bedrag van 20 miljoen euro oplopen of 4% van de wereldwijde omzet bedragen.”
Op de vraag of het goed is dat de AVG van kracht wordt, is Mignon helder. “Ja, het is goed dat er wordt gelet op wat er met persoonsgegevens gebeurt. Welke persoonsgegevens heeft een organisatie nodig en voor welke doeleinden verwerkt zij deze? Daarnaast is het goed dat betrokkenen hierop controle kunnen uitoefenen. Tegelijkertijd moet het voor organisaties wel werkbaar blijven. Wanneer je als organisatie inzicht creëert in de persoonsgegevens die je verwerkt en vervolgens helder beleid opstelt gelet op de verplichtingen die je hebt, hoeft het voldoen aan de AVG niet ingewikkeld te zijn. Mijn belangrijkste advies? Creëer inzicht, maak helder beleid en blijf in control met deze nieuwe wet.”
1. BEGIN MET BEWUSTWORDING IN DE ORGANISATIE
“Ik snap dat ondernemers vaak in de ‘Waan van de Dag’ zitten en dat dit soort zaken op de lange termijn wordt geschoven. Echter, een goede voorbereiding is het halve werk. Heb het met de relevante mensen in de organisatie over de impact van de AVG. Zijn er aanpassingen nodig om te voldoen aan de AVG? Praat er eens over met leveranciers. En, met klanten. Zijn bijvoorbeeld je bewerkersovereenkomsten op orde?”
2. CREËER INZICHT
“Inventariseer hoe jouw organisatie nu omgaat met persoonsgegevens. Heb je alle data die je opvraagt bij je klanten wel écht nodig? En zo ja, wat doe je er dan mee? Maak bijvoorbeeld een schematische weergave van de gegevens,
doelverwerkingen en bewaartermijnen om inzicht te creëren. Waar komen gegevens vandaan en met wie delen we deze gegevens? Wanneer de gegevensverwerking een hoog privacyrisico met zich meebrengt kan de organisatie verplicht zijn een zogenaamde Data Protection Impact Assesment (DPIA) uit te voeren. Schat nu alvast in of je DPIA’s moet uitvoeren. Betrokkenen krijgen daarnaast Speciaal voor de lezers van Hét Ondernemersbelang heeft Mignon een stappenplan opgezet voor het mkb, ter voorbereiding op de geldende AVG per 25 mei 2018. «
meer opties om bij de verwerking van hun gegevens voor zichzelf op te komen. Zo kan het zijn dat de organisatie toestemming nodig heeft van mensen om persoonsgegevens te verwerken. Ook zijn er nieuwe privacyrechten bij gekomen, namelijk het recht op vergetelheid – waarbij mensen het recht hebben om een organisatie te vragen al hun
persoonsgegevens te verwijderen – en het recht op dataportabiliteit - waarbij mensen het recht hebben om onder bepaalde voorwaarden hun persoonsgegevens te ontvangen in een standaardformaat om hun gegevens makkelijk door te kunnen geven aan een andere leverancier van eenzelfde soort dienst. Verder zijn er tot slot bestaande rechten voor betrokkenen zoals het recht op inzage en het recht op correctie van persoonsgegevens. Kortom, creëer inzicht en zorg ervoor dat de juiste mensen binnen de organisatie van de nieuwe privacyregels op de hoogte zijn.”
3. PRIVACY BY DESIGN & PRIVACY BY DEFAULT
“Houd rekening met de beginselen van ‘Privacy by design’ en ‘Privacy by default’. De organisatie moet al bij het ontwerpen van haar producten en diensten ervoor zorgdragen dat persoonsgegevens goed worden beschermd. Er mogen niet meer gegevens dan noodzakelijk worden verzameld voor het doel van de verwerking, en deze mogen niet langer worden bewaard dan hiervoor nodig is. Dit heet: ‘Privacy by design’. Daarnaast dient de organisatie technische en organisatorische maatregelen te nemen om ervoor zorg te dragen dat zij alleen persoonsgegevens
verwerkt voor het specifieke doel dat zij wil bereiken. Als een persoon zich bijvoorbeeld op jouw nieuwsbrief wil inschrijven, vraag dan niet meer gegevens dan nodig.”
4. MAAK BELEID
“Zorg dat je de verplichtingen uit de AVG voor jouw organisatie vertaalt naar helder beleid. Denk daarbij aan een
beveiligingsbeleid, beleid met betrekking tot het omgaan met datalekken, beleid met betrekking tot het omgaan met rechten van de betrokkenen en beleid voor de toepasselijke bewaartermijnen en het gebruikmaken van bewerkersovereenkomsten. Hernieuw vervolgens je privacy statements, zowel extern voor je klanten en websitebezoekers als ook voor je werknemers.”
5. HEB JE EEN FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING NODIG?
“Is het noodzakelijk om binnen de organisatie een functionaris aan te stellen die toezicht houdt op de naleving van de AVG? Tja, dat is per organisatie verschillend. De AVG noemt drie situaties waarin dit verplicht is.”
6. NEEM DE TIJD
“Regeren is vooruitzien. De datum van 25 mei 2018 lijkt nog ver weg, maar nú starten met het creëren van inzicht binnen je eigen organisatie is van belang. Je wilt niet te laat zijn met het opstellen van beleid en de implementatie van de juiste maatregelen.”
7. ACCEPTEER AVG ALS EEN ONDERDEEL VAN JE BEDRIJFSVOERING
“Natuurlijk kun je alles vinden van deze AVG. Echter, als je simpelweg persoonsgegevens in je organisatie verwerkt, dan moet je de verplichtingen uit de AVG in acht nemen. Dus, accepteer de AVG als onderdeel van je bedrijfsvoering en zorg ervoor dat ook jouw organisatie goed voorbereid is op de komst van de AVG.” "Creëer inzicht en zorg ervoor dat de juiste mensen binnen de organisatie van de nieuwe privacyregels op de hoogte zijn"
Tekst: Jerry Helmers // Fotografie: Blinkfotografie
Reacties op dit artikel
Reactie plaatsen? Log in met uw account.