Heb je al van de nieuwe privacywet, de zogeheten Algemene Verordening Gegevensbescherming (AVG) gehoord en zo ja, ben je al bezig met de voorbereidingen? Zes op de tien mkb-bedrijven namelijk niet. De ondernemers beseffen ook niet dat deze privacyregels hen geld kan gaan kosten. De maximale boete is zelfs 20 miljoen euro of 4 procent van je jaarlijkse (wereldwijde) omzet.
De wet trad al in mei 2016 in werking
Lees ook:
Hoe groot is je kans op een torenhoge privacyboete?
E-mail- en privacywetgeving: wat mag wel en wat niet?
Niet alleen grote bedrijven
“Je slaat de plank volledig mis als je denkt dat alleen grote bedrijven zoals Facebook kunnen worden aangesproken”, zegt jurist Gwenny Titulaer van HBO Juristen. “Ook (kleine) webshops, de financiële dienstverleners en gewoonweg iedereen die met klantendata werkt, krijgt zonder enige twijfel te maken met deze wetgeving.”
Maar veel van die ondernemers beseffen nog amper wat de impact van de nieuwe privacyregels is op hun processen en diensten. Titulaer: “Voorkom onnodige, torenhoge boetes en begin op tijd met de technische, administratieve en organisatorische maatregelen om je aan deze nieuwe privacywet te houden.”
Titulaer somt de belangrijkste punten op waarmee je rekening moet houden:
1. Breng de verwerking van je privacygegevens volledig in kaart
Hiermee bedoelen we alle persoonsgegevens die je verwerkt als bedrijf én met welk doel je dit doet. Maar registreer ook waar deze gegevens vandaan komen en met wie je ze allemaal deelt.
2. Draag zorg voor de privacyrechten van je betrokkenen
De mensen van wie je persoonsgegevens verwerkt, krijgen straks meer en verbeterde privacy-rechten door deze nieuwe wet. Ze moeten hun gegevens gemakkelijk kunnen inzien, laten corrigeren en op verzoek laten verwijderen of ze kunnen doorgeven aan een andere organisatie.
3. Voer een privacy impact assessment (PIA) uit
Hiermee wordt een middel bedoeld om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, waarna je maatregelen kunt nemen om de risico’s te verkleinen. De werkgroep van Europese privacytoezichthouders heeft criteria opgesteld om zo’n risico te bepalen. De Autoriteit Persoonsgegevens (AP) zal verder ook op korte termijn een lijst van verwerkingen publiceren waarvoor een PIA verplicht is.
4. Verwerk de ‘privacy by default’ in je bedrijfsvoering
Dit houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken met je bedrijfsvoering.
Je kunt hierbij bijvoorbeeld denken aan het vakje op je website ‘Ja, ik wil aanbiedingen ontvangen’: dat mag je niet vooraf aanvinken.
5. Controleer de privacyverklaring van je bedrijf
Deze verklaring moet door de nieuwe wetgeving meer gedetailleerde informatie bevatten en in begrijpelijke taal zijn geschreven.
6. Ga na of je bedrijf verplicht is een functionaris voor de gegevensverwerking aan te stellen
Sommige organisaties zijn verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Wacht hier niet te lang mee! Uiteraard mag je organisatie ook vrijwillig een FG aanstellen.
7. Documenteer alle datalekken en zorg voor een duidelijke procedure
Hier zijn strengere eisen aan gesteld, zodat je er goed aan doet een duidelijk en uniform stappenplan te lanceren bij vermoeden of kennisname van een datalek.
8. Ga na bij een bewerkersovereenkomst of je aan de vereisten uit de nieuwe wetgeving voldoet
Zo niet, pas de overeenkomst dan tijdig aan waar nodig.
9. Bij meerdere vestigingen in meerdere EU-lidstaten en/of gegevensverwerkingen in meerdere lidstaten is nog maar één privacytoezichthouder nodig
Wanneer dit geldt voor jouw organisatie, bepaal dan onder welke leidende privacytoezichthouder je bedrijf valt.
10. Evalueer de wijze waarop je toestemming vraagt, krijgt en registreert
De nieuwe wet verplicht je aan te tonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Ook moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.