De Algemene Verordening Gegevensbescherming (AVG) geldt vanaf 25 mei. Of je nu een bedrijf bent, organisatie of vereniging, iedereen moet zich aan de regels houden van deze Europese privacywet.
Die wet schrijft voor dat je duidelijk maakt welke klantgegevens je verwerkt, hoe je daarmee omgaat en welke maatregelen je neemt om die gegevens te beschermen. Carolien Lasonder is senior jurist bij DAS en adviseert bedrijven die AVG-proof willen worden. Zij legt uit hoe je bedrijf binnen één maand AVG-proof is.
1. Leg je datastromen vast
Iedere organisatie verwerkt gegevens van klanten. Al gaat het maar om enkel de naam plus het e-mailadres. De nieuwe AVG schrijft voor dat je deze datastromen in kaart brengt. Dat je precies weet welke persoonsgegevens je als bedrijf nu eigenlijk opslaat.
Daarnaast moet je ook duidelijk in beeld hebben bij welke externe partijen jij gegevens onderbrengt. Dat kan bijvoorbeeld je website-beheerder zijn, je administratiekantoor of een organisatie die namens jou marketingactiviteiten uitvoert.
2. Stel een verwerkingsovereenkomst vast
Nu je de datastromen helder hebt, is het hoog tijd om aan verwerkingsovereenkomsten te denken. Dat zijn afspraken die je maakt met externe partijen die voor jou gegevens verwerken. In zo’n overeenkomst leg je vast hoe zij met die gegevens moeten omgaan. Let wel: jij bent hier aan zet en bepaalt het doel. Waarom verwerken ze die gegevens, wat mogen ze ermee doen en welke middelen gebruiken ze daarvoor?
In de verwerkingsovereenkomst maak je verder afspraken over de beveiliging van de gegevens. Oftewel, je legt schriftelijk vast dat zij er op een verantwoorde manier mee omgaan en de data niet gebruiken voor zaken waar jij geen opdracht voor gegeven hebt. Denk aan het analyseren en eventueel doorverkopen van klantgegevens.
Op internet vind je standaard verwerkingsovereenkomsten die je na betaling van een paar tientjes kunt gebruiken. Die zijn overigens niet allemaal even goed. Je doet er daarom verstandig aan een dergelijke overeenkomst altijd te laten controleren door een deskundige. Dan weet je dat je goed zit en neem je geen onnodige risico’s en aansprakelijkheden op je.
3. Maak een privacystatement
Vanaf 25 mei heb je ook de plicht om mensen van wie je persoonsgegevens opslaat goed te informeren. De betrokkenen, noemt de nieuwe wet deze groep. Je moet ze laten weten wat je met hun data doet, waarom je die hebt opgeslagen en waar ze naartoe kunnen als ze het hier niet mee eens zijn. Dit doe je in een privacystatement.
De meeste bedrijven hebben zo’n document al op hun website staan. Al is het wel de vraag of deze versie na 25 mei nog steeds voldoet. Pak je privacystatement erbij en check of deze informatie erin staat:
- Identiteit van je organisatie
- Contactgegevens
- Het doel en de juridische basis van de verwerking
- De bewaartermijn van de gegevens die je opslaat
- De rechten van de betrokkenen
- Het recht om toestemming voor de verwerking van gegevens in te trekken
- Het recht om een klacht in te dienen bij de toezichthouder
- Welke derde partijen voor jou gegevens verwerken
Heb je nou te maken met een hopeloos verouderde versie? Even Googlen en je vindt ook hiervoor standaarddocumenten waarmee je straks wél AVG-proof bent. Al geldt ook hier weer de waarschuwing: laat een deskundige er altijd even een blik op werpen.
4. Informeer je eigen mensen
Datalekken worden vanaf 25 mei zwaarder bestraft als blijkt dat je onvoldoende voorzorgsmaatregelen hebt genomen. Daarom is het belangrijk om ook je eigen medewerkers goed te informeren. Want de meeste datalekken gebeuren nog steeds door menselijk handelen. Bijvoorbeeld doordat een medewerker op een besmet linkje klikt, een mail met bijlage naar het verkeerde adres stuurt of een USB-stick met klantgegevens laat slingeren.
En daarom: kweek databewustzijn bij de mensen in je organisatie. Stel een tienpuntenplan op waarin je je collega’s erop wijst voorzichtig om te gaan met persoonsgegevens. Deel ook de handleiding die vertelt wat te doen als het onverhoopt een keer misgaat. Dat gebeurt nu nog veel te weinig. De techniek krijgt dan alle aandacht, terwijl je je ook zou moeten richten op het gedrag van medewerkers.
Geen simpele sorry
En gaat het na 25 mei nou een keer echt goed mis en liggen klantgegevens op straat? Besef dan dat je met een simpele ‘sorry’ niet meer wegkomt. De AVG schrijft voor dat je hierover in alle openheid moet communiceren. Met de klant wiens gegevens zijn gelekt én met de Autoriteit Persoonsgegevens.
Lees ook:
- Deze ondernemer laat hackers zijn data-beveiliging aanvallen
- ‘We waren het doelwit van een ransom-aanval. Totale schade is zeker 60.000 euro’
- De lessen van een ondernemer die 3 ton leergeld moest betalen
Carolien Lasonder
Carolien werkt bij DAS en is een ervaren allround bedrijfsjurist met als specialisme privacywetgeving en arbeidsrecht. Zij begeleidt juridische projecten en procedures op het gebied van privacy, contractmanagement en arbeidsrecht. Ook is zij coördinator van de juridische adviesdesk van Flexx van DAS. Vragen aan Carolien, stuur een mail naar [email protected].