De Algemene Verordening Gegevensbescherming (AVG) geldt vanaf 25 mei. Of je nu een bedrijf bent, organisatie of vereniging, iedereen moet zich aan de regels houden van deze Europese privacywet. Wie zich niet aan die nieuwe regels houdt, kan flink beboet worden. Is jouw bedrijf er nog niet klaar voor? Dit stappenplan helpt je een handje.
#1. Leg je datastromen vast
Iedere organisatie verwerkt gegevens van klanten. Al gaat het maar om enkel de naam plus het e-mailadres. ‘De nieuwe Algemene Verordering Gegevensbescherming schrijft voor dat je deze datastromen in kaart brengt. Dat je precies weet welke persoonsgegevens je als bedrijf nu eigenlijk opslaat’, vertelt Carolien Lasonder. Ze werkt als senior jurist bij DAS en adviseert bedrijven die AVG-proof willen worden. ‘Daarnaast moet je ook duidelijk in beeld hebben bij welke externe partijen jij gegevens onderbrengt. Dat kan bijvoorbeeld je website-beheerder zijn, je administratiekantoor of een organisatie die namens jou marketingactiviteiten uitvoert.’
#2. Stel een verwerkingsovereenkomst vast
Nu je de datastromen helder hebt, is het hoog tijd om aan verwerkingsovereenkomsten te denken. Dat zijn afspraken die je maakt met externe partijen die voor jou gegevens verwerken. ‘Je legt in zo’n overeenkomst vast hoe zij met die gegevens moeten omgaan’, aldus Lasonder. Let wel: jij bent hier aan zet en bepaalt het doel. Waarom ze die gegevens verwerken, wat ze ermee mogen doen en welke middelen ze daarvoor gebruiken.
In zo’n verwerkingsovereenkomst maak je verder afspraken over de beveiliging van de gegevens. ‘Dat zij er op een verantwoorde manier mee omgaan en de data niet gebruiken voor zaken waar jij geen opdracht voor gegeven hebt’, vertelt de jurist. Daarmee doelt Lasonder onder meer op het analyseren en eventueel doorverkopen van klantgegevens.
Op internet vind je standaard verwerkingsovereenkomsten die je na betaling van een paar tientjes kunt gebruiken. Die zijn overigens niet allemaal even goed, waarschuwt Lasonder. ‘Laat een dergelijke overeenkomst dan ook altijd controleren door een deskundige. Dan weet je dat je goed zit en neem je geen onnodige risico’s en aansprakelijkheden op je.’
#3. Maak een privacystatement
Vanaf 25 mei heb je ook de plicht om mensen van wie je persoonsgegevens opslaat goed te informeren. De betrokkenen, noemt de nieuwe wet deze groep. ‘Je moet ze laten weten wat je met hun data doet, waarom je die hebt opgeslagen en waar ze naartoe kunnen als ze het hier niet mee eens zijn’, aldus Lasonder. Dit doe je in een privacystatement.
De meeste bedrijven hebben zo’n document al op hun website staan. Al is het wel de vraag of deze versie na 25 mei nog steeds voldoet. Pak daarom je privacystatement erbij en check of de volgende informatie erin terug te vinden is:
- Identiteit van je organisatie
- Contactgegevens
- Het doel en de juridische basis van de verwerking
- De bewaartermijn van de gegevens die je opslaat
- De rechten van de betrokkenen
- Het recht om toestemming voor de verwerking van gegevens in te trekken
- Het recht om een klacht in te dienen bij de toezichthouder
- Welke derde partijen voor jou gegevens verwerken
Heb je nou te maken met een hopeloos verouderde versie? Even Googlen en je vindt ook hier weer standaard documenten waarmee je straks wél AVG-proof bent. Al geldt ook hier weer de waarschuwing: laat een deskundige er altijd even een blik op werpen.
#4. Informeer je eigen mensen
Datalekken worden vanaf 25 mei zwaarder bestraft, als blijkt dat je onvoldoende voorzorgsmaatregelen hebt genomen. Daarom is het belangrijk om ook je eigen medewerkers goed te informeren. ‘De meeste datalekken gebeuren nog steeds door menselijk handelen’, aldus Lasonder. ‘Dan gaat het bijvoorbeeld om een medewerker die op een besmet linkje klikt, een mail met bijlage naar het verkeerde adres stuurt of een USB-stick met klantgegevens laat slingeren.’
En daarom: kweek databewustzijn bij de mensen in je organisatie. Stel een tienpuntenplan op waarin je je collega’s erop wijst voorzichtig om te gaan met persoonsgegevens. Deel ook de handleiding die vertelt wat te doen als het onverhoopt een keer misgaat. ‘Dit gebeurt nog veel te weinig in het bedrijfsleven’, aldus Lasonder. ‘De techniek krijgt dan alle aandacht, terwijl je je ook zou moeten richten op het gedrag van medewerkers.’
Klantgegevens op straat
En gaat het na 25 mei nou een keer echt goed mis en liggen klantgegevens op straat? Besef dan dat je met een simpele ‘sorry’ niet meer wegkomt. De AVG schrijft voor dat je hierover in alle openheid moet communiceren. Met de klant wiens gegevens zijn gelekt én met de Autoriteit Persoonsgegevens.
Over de auteur
Carolien Lasonder werkt bij DAS en is een ervaren allround bedrijfsjurist met als specialisme privacywetgeving en arbeidsrecht. Zij begeleidt juridische projecten en procedures op het gebied van privacy, contractmanagement en arbeidsrecht. Ook is zij coördinator van de juridische adviesdesk van Flexx van DAS. Vragen aan Carolien, stuur een mail naar [email protected].