Data zijn voor veel bedrijven een nieuw businessmodel geworden. Maar vergis je niet, ook bedrijven die het niet als businessmodel zien en ‘slechts’ e-mailadressen van klanten verzamelen voor incidentele mailings, moeten zich aan de nieuwe privacywet houden.
Eerst even de feiten: vanaf 25 mei 2018 zijn alle organisaties die in Europa actief zijn, verplicht persoonsgegevens goed te beheren en te beschermen. Wat onder ‘goed’ valt, staat in de Algemene verordening gegevensbescherming (AVG). Ook wel bekend onder de Engelse naam GDPR (General Data Protection Regulation). De gedachte achter deze verordening is dat de privacy van burgers en consumenten beter beschermd moet worden.
Organisaties die niet kunnen aantonen dat ze zich aan de AVG houden, lopen het risico op een boete die – per overtreding – kan oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van je organisatie (het hoogste bedrag telt). VNO-NCW en MKB-Nederland vragen in een brandbrief om een jaar uitstel op de handhaving. Ze vinden dat er nog teveel onduidelijk is en dat vooral kleine organisaties nog onvoldoende op de hoogte zijn.
Boete voorkomen
Hoe voorkom je zo’n boete? En welke impact heeft de AVG op jouw organisatie? De Rijksoverheid heeft een handleiding van maar liefst 98 pagina’s gepubliceerd. Handig, maar waarschijnlijk is zo’n grote hoeveelheid aan informatie ook erg overdonderend. Juist voor de kleine organisaties.
In het gratis rapport ‘Wat is de waarde van uw data?’ van Grant Thornton vind je daarom een handige en overzichtelijke checklist die je helpt aan de AVG te voldoen. Hieronder beschrijven we de belangrijkste veranderingen waar je mee aan de slag moet. Alvast één tipje van de sluier: je moet op zowel organisatorisch als op juridisch én technisch vlak aan de slag om succesvol aan de AVG te voldoen.
#1. Zorg voor een op AVG-gebaseerd privacybeleid
Onder de AVG ben je verplicht de personen die het betreft duidelijk te informeren wat je met hun persoonsgegevens doet. Meestal is het privacy-statement de meest geschikte vorm om aan die informatieplicht te voldoen. Let wel op dat je dit statement in Jip-en-Janneketaal opstelt, zodat voor iedereen snel en eenvoudig duidelijk is welke privacygevoelige gegevens je verzamelt en met welk doel.
#2. Inventariseer en classificeer de persoonsgegevens
Je moet de persoonsgegevens die je verzamelt inventariseren en classificeren.
#3. Houd een verwerkingsregister bij
In een verwerkingsregister leg je vast welke privacygevoelige gegevens je verwerkt, met welk doel, wie toegang tot die gegevens heeft en hoelang je de gegevens bewaart.
#4. Evalueer bestaande partnercontracten
Zoek uit welke (keten)partners toegang hebben tot de persoonsgegevens die je organisatie verzamelt. Sluit – waar dat nog niet het geval is – een verwerkersovereenkomst af met deze partijen. Daarin leg je vast hoelang privacygevoelige gegevens bewaard worden, wie er zorgt voor de beveiliging en wie verantwoordelijk is bij een eventueel datalek.
#5. Stel een procedure op voor datalekken
Stel een procedure op waarin duidelijk is hoe werknemers moeten handelen bij een datalek. Waarschijnlijk heb je al zoiets opgesteld bij de invoering van de meldplicht datalekken. Let dan op dat de AVG nog strenger is op het vlak van registratie. Zo moet je alle datalekken documenteren, zodat de Autoriteit Persoonsgegevens (AP) kan controleren of je aan de meldplicht hebt voldaan.
#6. Verhoog intern het privacy-bewustzijn
Uiteindelijk zijn het de medewerkers die het beleid moeten uitvoeren. Zorg daarom dat ze op de hoogte zijn van de nieuwe privacyregels. Bekijk welke medewerkers en/of afdelingen met de wet te maken krijgen en organiseer gerichte activiteiten om het bewustzijn rondom de AVG en wat dit voor hun werkzaamheden betekent te vergroten.
#7. Leg aan de betrokkene uit wat er met de gegevens gebeurt
Je bent verplicht om de betrokkene (degene van wie persoonsgegevens worden verwerkt) uitgebreid te informeren over de manier waarop je zijn of haar informatie gebruikt en hoelang je de gegevens opslaat. Ook moet je de betrokkene informeren over de gegevensbeschermingsrechten. Zoals het recht om persoonsgegevens te ontvangen (dataportabiliteit), het recht op verzet tegen het gebruik van persoonsgegevens en het verwijderen van de persoonsgegevens als de betrokkene daarom vraagt (recht op vergetelheid).
#8. Onderzoek of je een FG moet aanstellen
In sommige gevallen ben je verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen. Dat is een interne toezichthouder die alles rondom de verwerking van persoonsgegevens bewaakt en erop toeziet dat de AVG wordt nageleefd. Onderzoek of jouw organisatie verplicht een FG moet aanstellen of dat het sowieso nuttig is om een FG te benoemen.
#9. Inventariseer de privacyrisico’s
In sommige gevallen ben je verplicht een analyse uit te voeren om de privacyrisico’s te inventariseren. Aan de hand van de uitkomst kun je passende technische én organisatorische maatregelen nemen om deze risico’s te beheersen.
AVG-checklist
Alle organisaties die persoonsgegevens verzamelen, en dat doet bijna iedere organisatie, krijgen dus veel meer verantwoordelijkheden. Hoe bereid je je daar het beste op voor? En hoe zorg je ervoor dat je ook na 25 mei 2018 aan de AVG voldoet? Immers, alles geregeld hebben voor de invoering betekent niet dat je dan ‘klaar’ bent. Het beveiligen van de data is een continu proces. De AVG-checklist in het rapport ‘Wat is de waarde van uw data?’ helpt je bij het uitzoeken wat er nog moet gebeuren. Je kunt dit rapport van Grant Thornton gratis downloaden.