DE AVG – EEN GEDROCHT OF BITTERE NOODZAAK
Op het eerste gezicht een overduidelijk gedrocht. Alweer een door Europese ambtenaren bedachte administratieve last waar wij als MKB-ondernemers niet op zitten te wachten want: tijdrovend, geldverslindend en verwarring zaaiend.
Kijk je echter iets verder dan begrijp je de nieuwe Europese privacywet wat beter. Iedereen laat tegenwoordig al zijn of haar persoonlijke gegevens achter op tal van plekken waarvan we tien jaar geleden het bestaan niet konden vermoeden, vooral online en via het digitale en sociale dataverkeer. En daar wordt misbruik van gemaakt: websites worden gehackt en persoonlijke gegevens komen in handen van onbevoegden, met alle (mogelijke) gevolgen van dien. En daar proberen die Europese ambtenaren met behulp van de nieuwe wet AVG iets aan te doen. En ze hebben een punt…
Het gedrocht slaat meer op de slechte communicatie en voorlichting van onze rijksoverheid. We worden overspoeld met AVG-reminders en waarschuwingen om toch vooral te zorgen dat je op 25 mei a.s. AVG-proof bent maar bruikbare handleidingen, stappenplannen per branche en duidelijkheid voor de kleine ondernemer en zzp’er zijn ver te zoeken. Wij willen je d.m.v. dit verhaal graag proberen om die hele wet iets voor je te verduidelijken:
PRIVACY IS EEN GRONDRECHT
Een grondrecht van ons allemaal. Vanaf 25 mei a.s. moet ieder bedrijf dat persoonsgegevens (naam, adres, geslacht en dergelijke) verwerkt zorgvuldig met die gegevens omgaan. Dat deden we natuurlijk al maar vanaf nu moeten we vastleggen hoe we de privacy van onze medewerkers en klanten waarborgen. We zijn verplicht om een ieder te informeren wat we met zijn/haar persoonsgegevens doen en de meest handige manier om dat te doen is om een online privacyverklaring aan je website te hangen. Dat is niet zo moeilijk, die (standaard) verklaringen zijn overal te vinden en je websitebeheerder koppelt hem eenvoudig aan je website.
ZIJN WE ER DAN?
Nee want je zult ook een overzicht moeten maken welke persoonsgegevens je verwerkt, met welk doel je dat doet, waar deze gegevens vandaan komen en met wie je ze eventueel deelt. Brancheverenigingen hebben online behoorlijk wat informatie staan over de wijze waarop je dit overzicht opstelt, bijvoorbeeld:
Je zult ook voorzichtiger om moeten gaan met het gebruik van de persoonsgegevens van je medewerkers en relaties:
- Twee-traps-verificatie bij inloggen in software of online-platforms;
- Veilige back-ups maken
- Papieren persoonsgegevens bewaren in afgesloten kasten
- Datalekken (je bent gehackt of je mobiel kwijt of laptop gestolen) binnen 48 uur melden bij de Autoriteit Persoonsgegevens
En vergeet niet dat (oud) medewerkers en klanten bij je kunnen opvragen welke persoonsgegevens je van ze bewaart (en met welk doel) en eventueel kunnen verzoeken om hun gegevens te wijzigen of te verwijderen.
VERWERKERSOVEREENKOMST
En dan als laatste aandachtspunt: wanneer je persoonsgegevens waarvoor jij verantwoordelijk bent deelt met een ander bedrijf dan zul je een zogenaamde Verwerkersovereenkomst met die relatie op moeten stellen. Daarin wordt opgenomen waarom je relatie de beschikking over die persoonsgegevens krijgt, wat hij er mee gaat doen en wie er met betrekking tot die persoonsgegevens verantwoordelijk is. Ook deze overeenkomsten worden door de meeste brancheverenigingen aangeboden. Omdat wij de persoonsgegevens van jouw medewerkers en/of klanten verwerken in onze salaris- en financiële administratie en jij verantwoordelijk bent voor die gegevens, krijg je van ons binnenkort een verwerkersovereenkomst waarin we een en ander vastleggen.
TOT SLOT
Het is een heel verhaal en we hebben er alle begrip voor als het je duizelt. Laat je echter niet afschrikken door die datum van 25 mei, er staat dan echt geen controleteam op je stoep met de dreiging van torenhoge boetes wanneer je (nog) niet aan kunt tonen dat je aan de nieuwe privacywet voldoet. Maar denk wel na over de gevolgen die deze wet voor jouw bedrijf heeft en welke stappen je allemaal moet nemen om aan de eisen van die wet te voldoen. In principe is deze wet opgesteld voor de grote bedrijven maar uiteindelijk zullen we allemaal aan de in die wet gestelde eisen moeten voldoen.
Ons advies is dan ook: lees je goed in, probeer zo goed mogelijk branche-gerelateerde informatie en standaarddocumenten te bemachtigen en maak inzichtelijk waar en met welk doel je persoonsgegevens bewaart. Kom je er daarna nog niet uit dan staat ons team natuurlijk voor je klaar om je op weg te helpen.
Succes!