AVG staat voor Algemene Verordening Gegevensbescherming en is vanaf 25 mei 2018 direct van toepassing. Je hebt er misschien ook al wel eens van gehoord onder de afkorting GDPR, dat is de afkorting van de Engelstalige titels General Data Protection Regulation. Hoe dan ook: het gaat onze Wet bescherming persoonsgegevens vervangen. Ja, er gaat waarschijnlijk op basis van de AVG een nieuw Nederlandse wet komen, maar dat duurt nog wel even. Wat moet je tot die tijd doen om boetes te voorkomen?
Laten we eerlijk zijn, AVG is niet nieuw
Kijk, laten we nu niet doen alsof de AVG opeens super veel nieuwe eisen stelt. We moesten de privacy van onze klanten en andere personen al zorgvuldig behandelen. Alleen verdiept niet iedereen zich daarin. Omdat de AVG nu zoveel in het nieuws is, veel websites erover schrijven en je er dus veel over kunt lezen, raken veel mensen in paniek. Dat is absoluut onnodig! Ik help je met de aanpassingen die wel nodig zijn.
Zorg voor een update van je privacyverklaring
In alle gevallen was, is en wordt het belangrijk dat je mensen helder informeert over wat je met hun persoonsgegevens doet. Dat moest al. De privacyverklaring moet alleen nog veel uitgebreider worden. Afhankelijk van hoe jouw onderneming in elkaar zit, welke gegevens je verzamelt en wat je er mee doet moet je over tenminste 11, maar misschien over meer zaken informeren. Bijvoorbeeld welke gegevens je verzamelt, met welk doel je dat doet, hoe lang je ze bewaart (oneindig is hier geen optie), wie ontvangers van de persoonsgegevens zijn (zoals de hostingpartij die voor jou de gegevens op servers opslaat), dat er bezwaar gemaakt kan worden tegen de verwerking, dat mensen het recht hebben op inzage en wijziging van hun gegevens en dat ze mogen klagen bij de Autoriteit Persoonsgegevens. Lees over alle 11 verplichtingen meer in deze blogpost ‘Je hebt een nieuwe privacyverklaring nodig voor 25 mei 2018‘.
Dataportabiliwatte?
Dataportabiliteit. Met de AVG krijgen personen het recht op dataportabiliteit. Ofwel het recht om bij het ene bedrijf hun gegevens op te vragen om het vervolgens weer bij het andere bedrijf gemakkelijk in te kunnen leveren. Dat moet met een neutrale techniek gebeuren, zodat elk bedrijf daar wat mee kan. Dat komt dus al snel neer op zoiets als een excel-bestand of komma-gescheiden bestand. Jouw klant moet bij jou dus eenvoudig zijn/haar gegevens op kunnen vragen en door kunnen geven aan een ander bedrijf. Zal dat vaak gebeuren? Voorlopig nog niet, zeker niet bij webwinkels waar het eigenlijk alleen maar draait om adresgegevens. Bedrijven die dus veel meer en andere gegevens verzamelen, waarvan het voor mensen vervelend wordt om deze telkens opnieuw ergens in te moeten voeren, zal het veel belangrijker zijn om iets met dit recht te doen. Kortom: goed om te weten dat dit recht bestaat en check vooral even hoe makkelijk je gegevens techniekneutraal uit jouw database kunt halen om aan je klant te geven en tref zo nodig maatregelen om dat mogelijk te maken.
Verwerkersovereenkomst
Je slaat gegevens op een server op. Daar huur je een bedrijf voor in: de hoster. Werk je met een fullfilmentbedrijf, dan hebben zij de klantgegevens nodig om producten te kunnen versturen. Zo zijn er nog wel meer bedrijven aan wie jij gegevens van je klanten moet verstrekken om jouw diensten en producten te kunnen leveren. Dat mag dus ook. Je moet er alleen wel voor zorgen dat zij net zo zorgvuldig met de gegevens omgaan als jij. Daarom sluit je een zogenaamde verwerkersovereenkomst met ze, waar bijvoorbeeld in staat hoe ze de gegevens zullen beveiligen, wat ze met de gegevens mogen doen, wanneer ze die weer zullen verwijderen en hoe snel ze jou op de hoogte zullen stellen wanneer er sprake is van een zogenaamd datalek, waardoor persoonsgegevens (mogelijk) op straat komen te liggen.
Beveiliging van de gegevens
Zorg dat je altijd zorgvuldig omgaat met de gegevens die je ontvangt. Verzamel ze via een beveiligde verbinding (zorg voor een SSL certificaat voor je website), werk alleen met partijen die zorgvuldig met de data omgaan, zorg dat de servers waar de gegevens op staan voldoende beveiligd zijn. Dat betekent dat je ook binnen je bedrijf goed moet regelen wie er wel en niet bij die gegevens kunnen, dat de bestanden voldoende zijn beveiligd en dat niet alle werknemers en al helemaal geen vreemden zomaar bij de gegevens kunnen.
Je moet overigens ten alle tijden aan de Autoriteit Persoonsgegevens kunnen laten zien hoe je de beveiliging van de gegevens geregeld hebt. Dit is de zogenaamde verantwoordingsplicht.
Wat heb je NIET nodig?
Je hebt geen register verwerkingsactiviteiten nodig!
Heb je minder dan 250 werknemers in dienst, verwerk je geen gevoelige persoonsgegevens, dan hoef je geen register of logboek bij te houden van hoe de beveiliging van de persoonsgegevens is geregeld en wie er op welk moment bij die gegevens kon. Dat scheelt erg veel werk!
Voorwaarde is wel dat je met verzamelde gegevens geen klantprofielen bouwt, je geen grote hoeveelheden persoonsgegevens verwerkt en niet structureel persoonsgegevens verwerkt. Bewaar daarom de gegevens van je klanten niet langer dan nodig!
Geen privacybeleid nodig
Het gegevensbeschermingsbeleid of privacybeleid is niet verplicht voor kleine organisaties die geen bijzondere persoonsgegevens verzamelen. In het privacybeleid zou je normaal gesproken opschrijven hoe je zorgt dat je aan de AVG voldoet, wie er bij de gegevens kan en dat soort zaken. Omdat je wel aan de verantwoordingsplicht moet voldoen, waarmee je aan kunt tonen dat je aan de AVG voldoet, kan het wel handig zijn om een privacybeleid op te stellen.
Geen FG/DPO nodig!
Als je alleen een webwinkel hebt en geen bijzondere persoonsgegevens verzamelt en mensen niet stelselmatig observeert, dan heb je geen Functionaris Gegevensbescherming (of Engels: Data Protection Officer) nodig.
Het klinkt allemaal erg veel en streng, maar waar het op neer komt is dat je de persoonsgegevens die je ontvangt goed moet beveiligen, daarover transparant moet zijn naar de personen waarvan je de gegevens verzamelt en dat je dus ook goed moet registreren wat je verzamelt en daar een plan voor hebt.
Meer lezen?
Lees hier de blogpost ‘Géén GDPR/AVG wet stress’.
Lees hier de blogpost 'Gratis AVG checklist (pdf) - stoom je webshop AVG klaar'