Het einde is in zicht: vanaf volgende week handhaaft de Autoriteit Persoonsgegevens (AP) de AVG. Onlangs bleek dat zeven op de tien mkb-bedrijven op 25 mei 2018 niet klaar zijn voor de AVG. Dit is zorgwekkend, helemaal omdat onder de nieuwe wetgeving de AP extreem hoge boetes mag uitdelen. Wat moet jij nog weten om up-to-date te zijn?
Uitzonderingsgevallen
Vanuit de mkb-hoek is de vraag gerezen of er voor de kleinere bedrijven een uitzondering kan worden gemaakt in het handhaven van de AVG. Deze vraag is door de AP stellig met ‘nee’ beantwoord. Een woordvoerder van de AP gaf aan dat het beschermen van de privacy en persoonsgegevens essentieel, en bovendien een grondrecht is. Mkb-bedrijven kunnen daarom ook geen lichter regime verwachten in de handhaving.
De wet maakt wél een uitzondering op de documentatieplicht (ook wel de registerplicht genoemd) voor bedrijven met minder dan 250 werknemers. Deze uitzondering geldt alleen niet in de volgende gevallen:
• De verwerking(en) vormen (mogelijk) een risico voor de rechten en vrijheden van betrokkenen;
• Het verwerken is niet incidenteel; of
• Er worden bijzondere persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen verwerkt.
Hoewel er dus op papier sprake kan zijn van een uitzonderingsgeval, is in de praktijk altijd wel sprake van één van bovengenoemde drie situaties. In werkelijkheid komt het er dus vrijwel altijd op neer dat mkb-bedrijven alsnog gebonden zijn aan de documentatieplicht.
Moet jij nog flinke stappen maken op het gebied van gegevensbescherming? Houd dan in ieder geval de volgende drie punten in je achterhoofd.
1. Documentatieplicht
Om aan de documentatieplicht te voldoen, is het van belang dat jouw bedrijf een verwerkingsregister aanlegt waarin minstens de volgende onderwerpen zijn opgenomen:
• De gegevens over de verantwoordelijke (of medeverantwoordelijke) van de organisatie;
• Het doel van de verwerking van de persoonsgegevens;
• Beschrijving van de categorieën van betrokkenen (zoals werknemers of klanten) en persoonsgegevens;
• De bewaartermijnen van de persoonsgegevens;
• De categorieën ontvangers waaraan persoonsgegevens ter beschikking gesteld zijn of worden (zoals providers, hosts, bepaalde leveranciers etc.), inclusief ontvangers in andere landen;
• Een opgave van de doorgifte van persoonsgegevens naar andere landen of internationale organisaties, inclusief welke landen/organisaties;
• Een beschrijving van de genomen technische en organisatorische maatregelen.
2. Maatwerk
De vrij algemene wetteksten van de AVG moeten op veel plekken nader ingevuld worden voor een goede toepassing. Zo zijn op Europees en zelfs nationaal niveau bijvoorbeeld maar weinig begrippen ingevuld. Vooral voor jongere en kleinere bedrijven in het mkb is het ontzettend belangrijk dat de invulling van de AVG op maat wordt gemaakt, op een manier die past bij hoe het bedrijf is ingericht op diverse technische en organisatorische manieren. Neem daarom zo spoedig mogelijk een privacyjurist in de arm die jou kan helpen bij het begrijpelijk en toepasbaar maken van de bepalingen van de AVG, zonder dat dit je bedrijfsvoering in de weg staat.
3. Continu bijhouden
Tot slot is het belangrijk om te weten dat de eisen die volgen uit de AVG niet eenmalig zijn. Er is dus geen sprake van een eenmalige deadline. Ook als je het niveau van compliance hebt behaald is, het zaak dat je dit continu blijft bijhouden. Wil je bijvoorbeeld je huidige database van persoonsgegevens inzetten voor een nieuw doel? Dan moet je een Privacy Impact Assessment uitvoeren.
Ga je samenwerken met een nieuwe aanbieder van diensten? Sluit dan een passende verwerkersovereenkomst af. Ook blijven technologieën en processen zich continu ontwikkelen waardoor (interne) maatregelen en veiligheidsvoorschriften frequent moeten worden gecontroleerd op compliance.