appwatching-avg-stappen

Met deze vijf stappen maak je jouw onderneming AVG Ready

Iedereen weet inmiddels dat de AVG er aan zit te komen. Maar nog niet elke ondernemer is er klaar voor en ook aanbieders van cloudsoftware lijken er nog mee te worstelen. Het is niet leuk om te weten dat je nog niet klaar bent voor AVG, nog minder leuk is als je niet weet hoe je je wél goed voorbereid op de AVG. Ook al worden er vanaf 25 mei waarschijnlijk niet direct boetes uitgedeeld, is het nog wel belangrijk om je zo snel mogelijk voor te bereiden. Want op het moment dat de Autoriteit Persoonsgegevens (AP) wel begint met boetes uitdelen, kunnen deze oplopen tot twintig miljoen euro of vier procent van de jaaromzet. 

Het is daarom belangrijk om te weten wat je als ondernemer precies moet doen om uiteindelijk niet zo’n grote boete toegeschreven te krijgen. Door alle wirwar aan informatie over de AVG kan het lastig zijn om alleen relevante informatie voor jou als ondernemer eruit te filteren. Je zult je misschien ook vaak afvragen welke stappen je eigenlijk concreet moet doorlopen. Daarom heeft Appwatching vijf overzichtelijke stappen op een rij gezet waarmee je jouw onderneming AVG Ready maakt.

Voor wie geldt de AVG?

De wet is van toepassing op alle organisaties die gedeeltelijk of geheel automatisch gegevens verwerken van klanten, personeel of andere personen uit de EU die in een bestand zijn opgenomen of bestemd zijn om opgenomen te worden in een bestand. In andere woorden: bijna elk bedrijf in Nederland, ook het kleine MKB en ZZP’ers. 

Stap 1: Weet wat de rechten van betrokkenen zijn

De eerste stap is het op de hoogte zijn van de rechten die personen hebben waarvan jij gegevens bewaart. Deze rechten staan namelijk aan de basis van de AVG. Voor verschillende factoren is het belangrijk al deze rechten te weten. De rechten moeten ook overgebracht worden op je personeel, hierover straks meer bij stap 5. Naast de rechten die al bestonden omtrent privacy zijn er met AVG twee nieuwe bijgekomen.

De eerste is het recht op dataportabiliteit. Dit wordt ook wel het recht om gegevens over te dragen genoemd. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie.

De tweede is het recht op vergetelheid. Dit recht houdt in dat je in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene erom vraagt. Maar het is niet zo dat een betrokkene nu zonder reden gegevens kan laten verwijderen, hier zitten weer een aantal voorwaarden aan vast. Het recht op vergetelheid is lijkt op het bestaande recht op correctie en verwijdering, maar geeft meer macht aan betrokkenen.

Stap 2: Nu kun je gaan inventariseren

De volgende stap brengt in kaart welke persoonsgegevens je onderneming bewaart. Wanneer je dit duidelijk voor ogen hebt, kun je eenvoudiger de vervolgstappen uitvoeren. Stel jezelf de volgende vragen:

  • Welke gegevens verzamelt jouw onderneming van mensen?
  • In welke categorie vallen de mensen waarvan gegevens worden verzameld?
  • Zijn dit gewone, bijzondere of strafrechtelijke gegevens
  • Met welk doel worden de gegevens bewaard?
  • Op welke manier verzamel je de gegevens?
  • Worden de gegevens gedeeld met derde partijen?
  • Op welke manier worden de gegevens beveiligd?

Wanneer je niet zelf gegevens verwerkt, maar dit uitbesteedt aan een bewerker (in de AVG ‘verwerker’ genoemd), ga dan na of de overeengekomen maatregelen in bestaande contracten met de bewerkers nog steeds voldoen aan de vereisten van de AVG. Zo niet, zorg dan op tijd dat dit in orde is. 

Stap 3: Vraag op de juiste manier toestemming

De gegevens die je verzamelt moet je op de juiste manier, volgens de regels van de AVG, verkrijgen. Evalueer daarom de manier waarop je toestemming vraagt, krijgt en
registreert. 

Een onderdeel hiervan is de ‘privacy-by-default-regel’. De AVG verplicht je om technische en organisatorische maatregelen te nemen om ervoor te zorgen dat je, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken. AP noemt hierbij de volgende voorbeelden:

  • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken; 
  • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Stap 4: Maak een register en stel protocollen op

Het opslaan van gegevensverwerkingen in een register is met de AVG ook verplicht. Dit is voor twee redenen belangrijk. De eerste is zodat je gegevens makkelijk op kunt halen wanneer een betrokkene beroep doet op een van hun rechten. Ten tweede stelt de AVG je verplicht om de gegevens zo op te slaan in een register dat je zo aan kunt leveren wanneer de AP daar om vraagt. Je doet er ook goed aan om voor je onderneming protocollen op te stellen voor situaties waarin betrokkenen of AP persoonsgegevens opvragen.

Door de AVG krijgt elke onderneming meer eigen verantwoordelijkheid door het opleggen van verantwoordingsplicht. Daarmee word je eigenlijk gedwongen om goed na te denken over de manier waarop je gegevens verwerkt en beschermt. Je moet hiermee bijvoorbeeld aan kunnen tonen dat een verwerking aan de belangrijkste eisen van verwerking voldoet, zoals: 

  • rechtmatigheid
  • transparantie
  • doelbinding
  • juistheid

Daarnaast neem je het doel, de bewaartermijn, manier van beveiligen, het eventueel delen met derde partijen en de categorie van betrokkenen ook op in het register. Door het register uiteindelijk goed op orde te hebben, maak je het jezelf eenvoudig wanneer AP vraagt om verantwoording af te leggen.

Verder ben je verplicht datalekken te registeren, dit bestond al en blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan je eigen registratie van de datalekken. Alle datalekken die plaatsvinden in je organisatie moet je documenteren. De AP kan wederom deze gegevens opvragen om te controleren of je aan je meldplicht hebt voldaan. Dus zorg ook hier voor een duidelijke documentatie en een goed protocol.

Ook op het gebied van beveiliging worden de regels aangescherpt. Dit brengt onder andere de Data protection impact assessment (DPIA) met zich mee. Dit houdt in dat je verplicht kunt zijn DPIA uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. Een DPIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen.

Stap 5: Licht personeel in en wijs rollen toe

Het is belangrijk dat al je personeel goed op de hoogte is van alle AVG-regels en het beleid wat is opgesteld rond de AVG-regels. Stel, een betrokkene vraagt met een gegronde reden om zijn/haar gegevens te verwijderen, dan volgt een medewerker het protocol wat hiervoor is opgesteld.

Eerder spraken we over privacy by default, maar er is ook sprake van privacy by design. Dat houdt in dat er al bij het ontwerpen van producten en diensten rekening moet worden gehouden met een juiste manier van beschermen en verwerken van persoonsgegevens. Ook hier moet je personeel dus goed van op de hoogte zijn.

Naast het op de hoogte brengen van je personeel moeten er ook bepaalde rollen toegewezen worden. Een functionaris voor gegevensbescherming (FG) is een van die rollen. Dit is iemand die toezicht houdt op de toepassing en naleving van de AVG. In de volgende situaties ben je verplicht om een FG aan te stellen binnen je onderneming:

  • als je een overheidsinstanties of publieke organisatie bent;
  • als op grote schaal individuen volgen een kernactiviteit is;
  • als op grote schaal bijzondere persoonsgegevens verwerken een kernactiviteit is.

Als je niet verplicht bent een FG te benoemen, dan is het alsnog verstandig om binnen je onderneming iemand aan te wijzen die de regels van de AVG kent en ervoor zorgt dat de AVG op de juiste manier wordt nageleefd. Zo ben je er zeker van dat jouw onderneming AVG-proof is én blijft.

Tot slot

In de voorgaande stappen zijn de grootste en belangrijkste punten vermeld die je als ondernemer moet weten om je voor te bereiden op de AVG. Echter is de AVG een zeer uitgebreide wet en bestaat uit veel regels. Het is daarom slim om naast dit stappenplan de website van de Autoriteit Persoonsgegevens erbij te pakken. Deze website komt ook van pas als je uitgebreidere informatie zoekt over onderdelen in dit stappenplan. Succes met voorbereiden!
 

 

 -
Geschreven door:
Thomas van Holsteijn

Verder lezen


appwatching-chat

Mijnwebwinkel koppelt met LiveChat Service

Klanten van Mijnwebwinkel kunnen vanaf vrijdag een livechat aanbieden in hun webwinkel.

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
Appwatching 13.jpg

Digitalisering MKB groeit licht

Bij bedrijven in Nederland steeg de digitalisering licht van 54 naar 56 procent. De digitalisering bij...

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
appwatching-ideal.png

Informer geeft de mogelijkheid BTW-aangifte met iDeal te betalen

Boekhoudsoftware-aanbieder Informer maakt het voor klanten mogelijk om de tweede BTW-aangifte van 2018...

Steven Houkes - Webredacteur
Steven Houkes
Webredacteur
Products