Aan de slag met de AVG. Elke onderneming moet zijn privacybeleid hebben aangescherpt voorafgaande aan 25 mei 2018. Op die datum treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Zo ben je verplicht helder en transparant te informeren waar jij persoonsgegevens voor gebruikt, voor welk doel. Hoe doe je dat en wat wordt er van jouw bedrijf verwacht?
De autoriteit persoonsgegevens heeft op de website een 10 stappenplan geplaatst. Handig, want zo weet je precies waar je staat en of je bedrijf zich al voldoende inspant om aan de regels rond privacy te voldoen. Leer meer op //autoriteitpersoonsgegevens.nl/ en kom snel weer bij dit blog terug.
Als eenmanszaak zonder personeel die weinig persoonsgegevens verwerkt, volstaat wellicht het volgende:
1. Het plaatsen van een privacyverklaring op je contactformulier. Bijkomend voordeel: Bij het opstellen ervan wordt meteen in beeld gebracht welke persoonsgegevens jouw bedrijf verwerkt. Heb je ook weer aan dit vereiste voldaan!
2. Laat je algemene voorwaarden aanpassen met informatie over verwerking persoonsgegevens en overige informatie hoe jouw bedrijf omgaat met privacy.
3. Sluit verwerkersovereenkomsten met de derden die je inschakelt zoals je boekhouder of je softwareleverancier. Zo zorg voor de veiligheid van die persoonsgegevens.
Heb je een bedrijf met personeel, dan is het voorgaande niet voldoende. Naast deze drie punten is het volgende in ieder geval van belang:
4. Breng de verwerking persoonsgegevens binnen jouw bedrijf in kaart. Maak dit transparant voor alle betrokkenen. Transparantie is niet alleen voor de betrokkenen buiten het bedrijf, je klanten, maar ook voor je personeel;
5. Breng in kaart welke rechten de betrokkenen hebben op deze persoonsgegevens. Vindt verwerking plaats op basis van toestemming of op basis van een overeenkomst zoals een arbeidsovereenkomst? Maak duidelijk hoe een betrokkene – zoals je werknemer! – zijn rechten kan uitoefenen;
6. Bewustwording. Maak je personeel bewust van de privacyrechten die betrokkene hebben, maak het personeel bekend met de termen zoals datalek;
7. Zorg voor een stappenplan datalek en houdt een register bij met elk datalek;
8. Zorg voor een wachtwoordenbeleid zodat het beginsel veiligheid gewaarborgd blijft;
9. Beveilig de persoonsgegevens (tref technische en organisatorische maatregelen voor bescherming data, privacy by default en privacy by design)
10. Wanneer de verwerking berust op toestemming van de betrokkene, voldoet die toestemming dan aan de vereisten van de AVG? Is er sprake van opt in of opt out? Bij jou ligt de bewijslast!
11. Heeft jouw bedrijf meer dan 250 medewerkers in dienst, dan is er zelfs de verplichting een verwerkingsregister bij te houden en een Functionaris Gegevensbescherming aan te stellen. Onder bepaalde voorwaarden moet dit ook bij kleinere ondernemingen;
Ook als je een bedrijf hebt zonder personeel, maar dat stelselmatig persoonsgegevens verwerkt voor het uitvoeren van profilering, monitoring of geautomatiseerde besluitvorming, zoals bij een marketingbureau en webshop, dan gelden aanvullende eisen vanuit de AVG. Denk hierbij aan toestemming en bezwaar en het handmatig kunnen doorvoeren van wijzigingen in de geautomatiseerde verwerking. Let er echter op dat je deze toestemming op de juiste wijze verkrijgt.
Laat zien aan de Autoriteit Persoonsgegevens – de toezichthouder – dat jouw bedrijf voldoet aan de belangrijkste beginselen van verwerking persoonsgegevens zoals bijvoorbeeld:
- – juiste grondslag;
- – transparantie, rechtmatigheid en behoorlijkheid;
- – doelbinding;
- – minimale gegevensverwerking (toereikend, ter zake dienend en beperkt);
- – bewaartermijn beperkt;
- – juistheid van de gegevens en de veiligheid ervan is gewaarborgd.
Wil je zeker weten of jouw bedrijf voldoet aan de regels van de AVG? Heb je hierbij hulp nodig of wil je het gewoon graag uitbesteden? Aarzel niet contact met mij en Ingrid op te nemen. Samen met Ingrid Masselink help ik je graag met het treffen van voorbereidingen op de AVG. Lees vooral ons artikel over de nieuwe privacywet.
Auteur mr. S.B. Punt
telefoonnummer 06 145 78 344
