nieuws

Privacy (AVG) proof in 10 stappen

Ondernemen 3763

Ondernemers moeten op 25 mei 2018 klaar zijn voor de Algemene Verordening Gegevensbescherming (AVG). Niet voldoen aan deze nieuwe privacywetgeving kan een boete opleveren tot 4% van de totaalomzet. De nieuwe AVG geldt al bij het uitsturen van een factuur of nieuwsbrief.

Privacy (AVG) proof in 10 stappen
Ondernemers moeten op 25 mei 2018 klaar zijn voor de Algemene Verordening Gegevensbescherming (AVG). Niet voldoen aan deze nieuwe privacywetgeving kan een boete opleveren. Foto Shutterstock

Een korte checklist van wat je binnen de nieuwe privacy wetgeving AVG allemaal moet regelen, en uitleg van begrippen, geven we hierna. Meer onderaan in het bericht vind je het 10-stappenplan van de KvK om te zorgen dat je onderneming privacy proof is. Tweewielerondernemers hebben 3 gebieden waarvoor de AVG geldt:

  1. Klantgegevens (NAW gegevens, leeftijd, geslacht e.d.)
  2. Klantbenadering en (online) marketing (direct mail, direct marketing, nieuwsbrieven, klantenacties e.d.)
  3. Personeel (fulltime, parttime en hulpkrachten)

Regelen voor 25 mei

Wat je als ondernemer in elk geval geregeld moet hebben voor 25 mei, is:

  • Privacystatement
  • Verwerkersovereenkomst
  • Draaiboek datalekken

Hierna leggen we deze begrippen uit. En geven we een korte toelichting op: omgaan met bestaande klanten, toestemming voor direct marketing, bewaartermijnen, en de strengere regels voor webwinkels onder de AVG.

Privacystatement

In het privacystatement leg je de voorwaarden vast voor het omgaan privacygevoelige gegevens van je klanten. Als ondernemer ben je verplicht klanten of bezoekers (offline en online) duidelijk te laten weten welke privacygevoelige gegevens je verzamelt en voor welk doel. Ook moet je je klanten op hun rechten wijzen. Om te voldoen aan de AVG moet je als ondernemer zorgen voor een heldere privacy policy. Zie ook Stap 2 bij het 10-stappenplan hieronder. Op diverse websites zijn voorbeelden van privacy statements te downloaden, of laat dit opstellen door een juridisch adviseur.

Verwerkersovereenkomst

Als een ander bedrijf de persoonsgegevens voor jou verwerkt en opslaat, dan moet je met dat bedrijf een verwerkersovereenkomst afsluiten. Zelfs zonder het wijzigen van gegevens kan er al sprake zijn van verwerken. Bijvoorbeeld als een externe helpdesk voor jouw bedrijf gegevens inziet. In een verwerkersovereenkomst spreek je onder meer af wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt.

Draaiboek datalekken

De AVG verplicht ondernemers om binnen hun organisatie alle datalekken vast te leggen en te documenteren. Er is bijvoorbeeld sprake van een datalek als databestanden worden gehackt of als je onbedoeld toegang geeft tot bestanden. Ook een gestolen laptop of zoekgeraakte usb-stick is een datalek.

Bestaande klanten

Je mag je eigen, bestaande klanten digitale direct marketing sturen met aanbiedingen voor andere, vergelijkbare producten of diensten. Bijvoorbeeld per e-mail, sms of app. Je klanten hoeven daarvoor in de nieuwe AVG niet eerst toestemming te geven. LET OP: je moet wél een makkelijke, gratis afmeldmogelijkheid bieden bij elk bericht dat je verstuurt.

Toestemming direct marketing

Voor direct marketing moet de nieuwe klant toestemming geven. Dat verzoek om toestemming voor direct marketing per e-mail, sms of app moet voldoen aan bepaalde eisen. Namelijk: ‘vrij’, ‘specifiek’, ‘geïnformeerd’ en ‘ondubbelzinnig’.

Bewaartermijnen

In de Algemene verordening gegevensbescherming (AVG) staan geen concrete bewaartermijnen genoemd. Het uitgangspunt is dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van de verwerking. Hoe lang je gegevens mag bewaren, verschilt dus per geval.

Striktere regels voor webwinkels

Voor webwinkels gaan ook strikte(re) regels gelden. Iedere webwinkel verwerkt persoonsgegevens. Vaak niet alleen om producten en diensten aan klanten te kunnen leveren. Maar ook voor direct marketing. Dit mogen ze onder de AVG blijven doen, maar de regels worden wel strikter. Zoals toestemming voor Direct Marketing, en bewaartermijnen. Bekijk de AVG regelhulp voor meer informatie.

Een relevante website is die van de Autoriteit Persoonsgegevens waar deze de consument informeert over de nieuwe wet persoonsgegevens: Hulp bij Privacy.

In 10 stappen AVG proof

De KvK heeft een handige checklist gepubliceerd, met een 10-stappen plan om te waarborgen dat je als ondernemer klaar bent voor de AVG.

Stap 1. Bewustwording

Zorg dat iedereen in uw onderneming bekend is met de nieuwe privacyregels.

Stap 2. Rechten van betrokkenen

Houd alvast rekening met de extra privacyrechten die personen krijgen zoals het recht op inzage en het recht op correctie en verwijdering.

Privacyverklaring: De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn, daar waar jij als ondernemer om persoonsgegevens vraagt. In de privacyverklaring staan in ieder geval:

  • je bedrijfsgegevens
  • het doel van de gegevensvastlegging
  • welke gegevens je verzamelt
  • aan wie je de gegevens eventueel doorgeeft
  • hoe lang je de gegevens bewaart
  • uitleg over cookies en de reden van gebruik (bij gebruik van cookies)
  • de door jou toegepaste beveiliging van de vastgelegde persoonsgegevens
  • het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit)
  • het recht op intrekking van verleende toestemming
  • het recht om een klacht in te dienen

Eigen gegevens: Het recht om de eigen gegevens in te zien, te corrigeren en aan te vullen was in de oude privacywetgeving al geregeld. Op verzoek moest je de persoonsgegevens ook al verwijderen. Deze rechten blijven onder de nieuwe wet bestaan. Daar komt het recht op dataportabiliteit bij. Je moet ervoor zorgen dat mensen hun gegevens makkelijk kunnen ontvangen en kunnen doorgeven aan een andere organisatie als ze dat willen.

Toestemming: Iedereen krijgt door de AVG meer mogelijkheden om voor zichzelf op te komen. De privacyrechten worden versterkt en uitgebreid. De AVG beschrijft hoe je geldige toestemming van mensen kunt krijgen om de persoonsgegevens te mogen verwerken. Daarvoor is een bewuste handeling van de persoon nodig. LET OP: je mag bijvoorbeeld het vakje voor toestemming niet alvast aankruisen! De verkregen toestemming moet je kunnen aantonen. Het intrekken van de toestemming moet net zo makkelijk zijn als het geven van toestemming.

Klachten:  Je moet mensen wijzen op de mogelijkheid om bij de Autoriteit Persoonsgegevens een klacht in te dienen over hoe je met hun persoonsgegevens omgaat.

Stap 3. Maak een verwerkingsregister

Maak inzichtelijk welke persoonsgegevens worden gebruikt, met welk doel, waar ze worden opgeslagen en wie er toegang tot de gegevens hebben. De AVG verplicht organisaties om de verwerking van persoonsgegevens bij te houden in een register. Deze verplichting geldt voor vrijwel alle organisaties.

Je bent verplicht om met een register te werken waarin je de verwerking van persoonsgegevens bijhoudt, als jouw onderneming:

  • persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor)
  • risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of
  • meer dan 250 medewerkers heeft.

In de praktijk zullen (vrijwel) alle organisaties/ondernemingen verplicht zijn de verwerking van persoonsgegevens in een register bij te houden. Dit omdat binnen een organisatie klanten-, leveranciers- of personeelsbeheer altijd vaker voorkomt.

Inhoud register: in het verwerkingsregister neem je op:

  • welke persoonsgegevens je gebruikt
  • voor welk doel
  • waar je ze opslaat
  • met wie je ze eventueel deelt.

Het register kun je schriftelijk of elektronisch bijhouden. Als betrokken personen je vragen hun gegevens te corrigeren of te verwijderen kun je dit register hiervoor nodig hebben. Je moet deze verzoeken ook doorgeven aan de organisaties waarmee je de persoonsgegevens hebt gedeeld (via een verwerkersovereenkomst).

Stap 4. Data protection impact assesment (DPIA)

Een data protection impact assesment (effectbeoordeling gegevensbescherming) zorgt dat je voldoet aan de verplichting om vooraf de risico’s van gegevensverwerking in kaart te brengen. Het verwerken van gegevens met een hoog privacyrisico zal in de tweewielerwinkel niet snel voorkomen. LET OP: uitzondering kunnen de meetgegevens zijn die je opslaat bij het aanmeten van een fiets!

  • Een DPIA moet je in elk geval uitvoeren als je bijzondere persoonsgegevens over gezondheid opvraagt en deze (of biometrische) gegevens op grote schaal verwerkt.
  • Gegevens zo combineert, dat iemand in een bepaalde categorie of groep is in te delen en daardoor zo kan worden benaderd of beoordeeld (profilering).
  • De Autoriteit Persoonsgegevens (AP) publiceert op termijn een lijst van gegevensverwerkingen waarvoor een DPIA verplicht is.

Stap 5. Privacy by design en privacy by default

Houd bij het ontwerpen van nieuwe producten rekening met de bescherming van privacygevoelige informatie. Verwerk alleen die persoonsgegevens die noodzakelijk zijn voor het specifieke doel.

Stap 6. Functionaris gegevensbescherming

De AVG verplicht grootschalige gegevensverwerkers een functionaris gegevensbescherming aan te stellen. LET OP: we vermelden dit hier voor de volledigheid, maar voor een tweewielerwinkel is dit niet van toepassing.

Stap 7. Meldplicht datalekken

Check of er in je onderneming procedures zijn voor het vastleggen en melden van datalekken (voor omschrijving en voorbeelden zie boven bij Draaiboek Datalekken). LET OP: In de AVG wordt de meldplicht uitgebreid met de verplichting om alle datalekken te documenteren.

Stap 8. Bewerkersovereenkomsten

Zorg ervoor dat u een bewerkersovereenkomst hebt met iedere organisatie die persoonsgegevens voor u verwerkt. Controleer of bestaande overeenkomsten voldoen aan de AVG.

Een verwerkersovereenkomst afsluiten: Als een ander bedrijf de persoonsgegevens voor u verwerkt en opslaat, dan moet u met dat bedrijf een verwerkersovereenkomst afsluiten. Zelfs zonder het wijzigen van gegevens kan er al sprake zijn van verwerken. Bijvoorbeeld als een externe helpdesk voor uw bedrijf gegevens inziet.

Wat staat er in een verwerkersovereenkomst? Hierin staat wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt. Verder spreek je hierin af dat:

  • verwerking uitsluitend plaatsvindt op basis van je schriftelijke instructies. Er mogen dus geen persoonsgegevens voor andere doeleinden worden gebruikt;
  • personen in dienst van of werkzaam voor de verwerker, een geheimhoudingsplicht hebben;
  • de verwerker passende technische en organisatorische maatregelen treft om de verwerking van persoonsgegevens te beveiligen;
  • de verwerker zonder uw schriftelijke toestemming de verwerking niet door een ander mag laten uitvoeren;
  • de verwerker je helpt om te voldoen aan verzoeken van betrokkenen, als het gaat om hun privacyrechten. Zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit;
  • de verwerker je helpt om andere verplichtingen na te komen, zoals het melden van datalekken;
  • de verwerker na afloop van de verwerkingsdiensten de gegevens verwijdert of naar jou terugstuurt. Ook verwijdert hij kopieën, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren;
  • de verwerker meewerkt aan audits van jou of een derde partij. Hiervoor stelt de verwerker alle relevante informatie beschikbaar zodat gecontroleerd kan worden of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.

Stap 9. Leidende toezichthouder bepalen

Als je organisatie in meerdere EU-landen actief is, hoef je maar met één privacy toezichthouder (bijvoorbeeld de Autoriteit Persoonsgegevens) zaken te doen, de leidende toezichthouder. LET OP: we vermelden dit hier voor de volledigheid, maar voor een tweewielerwinkel zal dit waarschijnlijk niet van toepassing zijn.

Stap 10. Toestemming

De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Evalueer daarom de manieren waarop je toestemming vraagt, krijgt en registreert. Je moet kunnen aantonen dat er geldige toestemming is verkregen. Dit is het cruciale element in de AVG.

Algemene informatie: Wat is de AVG?

De Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywetgeving, die op 25 mei 2018 de huidige privacywetgeving vervangt. Privacyrechten van klanten of gebruikers worden er mee versterkt en uitgebreid. De Europese Unie kent hiermee één privacywet; de huidige Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Internationaal staat de AVG bekend als General Data Protection Regulation (GDPR).

Voor wie is de AVG?

Deze Europese privacywetgeving is er voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers krijgen ermee te maken, ook zzp’ers en klein mkb. Door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Of het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie.

Wat moet ik als ondernemer met de AVG?

Door de AVG heb je als ondernemer een bepaalde verantwoordingsplicht. Je moet kunnen aantonen dat je de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen. En je moet kunnen bewijzen dat je geldige toestemming hebt gekregen voor het verwerken van persoonsgegevens.

Nog meer relevante websites

Een relevante website is ook die van de Autoriteit Persoonsgegevens waar ze de consument informeren over de nieuwe wet persoonsgegegevens: Hulp bij Privacy. Op de website van de Autoriteit Persoonsgegevens (AP) worden veel gestelde vragen beantwoord. Hier vind je informatie over het hoe en waarom van de nieuwe AVGEn algemene informatie over AVG.

Bron: Kamer van Koophandel

Voor boetes in 1e instantie terughoudendheid

Onder de AVG krijgt de Autoriteit Persoonsgegevens ruimere boetebevoegdheid en handhavingsmogelijkheden. De verwachting is dat de AP gedurende de eerste tijd vooral zal inzetten op het geven van voorlichting en het bijsturen van organisaties tenzij sprake is van ernstige misstanden.

Tijdens de behandeling van het voorstel Uitvoeringswet AVG in maart heeft Minister Dekker gezegd dat hem is bevestigd dat de AP niet direct tot het opleggen van hoge boetes over zal gaan. De eerste keren zou alleen een boete worden opgelegd bij gevallen waarin (1) evident fouten zijn gemaakt en (2) de organisatie zich ook had moeten realiseren dat zij in overtreding is.

Hoewel de minister vanwege de onafhankelijkheid van de AP geen harde toezeggingen kan doen over handhaving, kan hieruit voorzichtig worden afgeleid dat organisaties langer de tijd hebben om AVG compliance op orde te krijgen, zolang zij kunnen aantonen hieraan volop te werken.

Lees ook:

BOVAG Privacy tool loodst ondernemers door nieuwe wetgeving

Reageer op dit artikel