De AVG: waar moet ik als ondernemer aan denken?

Morgen is het zo ver, 25 mei 2018, de datum die al weken of zelfs maanden bij velen op het netvlies gebrand staat. Want op 25 mei 2018 gaat de AVG van kracht. De Algemene verordening gegevensbescherming, ook wel bekend als de GDPR. Wij zijn ons hier bij JDS bedrijfsautomatisering bv al meer dan een jaar aan het voorbereiden op deze nieuwe wetgeving, omdat er nogal wat bij komt kijken. Vooral voor ons als hostingpartij zijn er veel aspecten van deze wet waar we rekening mee moeten houden en we hebben privacy hoog in het vaandel staan. Maar het is met zijn 99 artikelen een aardig pittige tekst om doorheen te komen, dus we kunnen ons helemaal voorstellen dat het voor u nog abracadabra is.

Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon is een persoonsgegeven. En het verwerken? Elke verwerking of elk geheel van verwerkingen. Denk bijvoorbeeld aan verzamelen, vastleggen, opslaan, wijzigen, gebruiken, wissen en zo meer. U kunt er eigenlijk van uit gaan dat als u te maken heeft met persoonsgegevens, u ze verwerkt.

De AVG omvat ontzettend veel onderdelen, maar waar moet u zich nu als ondernemer als eerste op richten? Wij helpen u daarbij!

Verwerkingsregister

U moet aan kunnen tonen dat u goed nagedacht heeft over hoe uw onderneming persoonsgegevens verwerkt en beschermt en hoe u aan de regels van de AVG voldoet. U moet tevens kunnen aantonen dat u bij het verwerken van de gegevens voldoet aan de belangrijkste beginselen van de verwerking: rechtmatigheid, transparantie, doelbinding en juistheid. Dit doet u in een verwerkingsregister. Welke gegevens ontvangt u van betrokkenen, wat is het doel waarmee u ze verwerkt en bent u verwerkingsverantwoordelijke of verwerker? Dit zijn zaken die in dat verwerkingsregister staan, zodat inzichtelijk wordt welke processen er binnen uw onderneming plaatsvinden m.b.t. het verwerken van persoonsgegevens en hoe u daarbij aan de verplichtingen van de AVG voldoet.

Privacy by design & default

Hou bij het inrichten van de verwerkingen binnen uw organisatie ook rekening met de twee principes van privacy by design & privacy by default. By design houdt in dat u bij het ontwikkelen van nieuwe producten en/of diensten al rekening houdt met het waarborgen van de privacy van de betrokkenen. Daarnaast houdt u ook rekening met dataminimalisatie (zie hieronder). By default houdt in dat de standaardinstellingen van de programma’s die u gebruikt al maximaal privacyvriendelijk zijn.

Dataminimalisatie

Ieder persoonsgegeven dat u verzamelt, moet met een doel verzameld worden. Het onnodig opslaan van gegevens, omdat ze ‘wel eens in de toekomst van pas kunnen komen’ is daarmee dus verleden tijd. Ieder persoonsgegeven kan een ander bewaartermijn hebben en dat geldt ook voor een back-up en/of een archief. Daarnaast hebben betrokkenen het recht om te allen tijde hun gegevens bij u op te vragen en ze kunnen zich beroepen op hun nieuw verworven recht op vergetelheid. Dit houdt in dat u zonder onredelijke vertraging al hun gegevens dient te wissen, ook uit een back-up en/of een archief.

Beveiliging

U dient niet alleen bewust om te gaan met het verwerken van de persoonsgegevens, maar u heeft ook de plicht om passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens. Daarbij moet u er ook aan denken dat er een onderscheid gemaakt wordt tussen gewone persoonsgegevens, bijzondere en gevoelige persoonsgegevens, welke verschillende niveaus van beveiliging vereisen. Mocht er onverhoopt toch een datalek plaatsvinden in uw organisatie, dient u als Verwerkingsverantwoordelijke te bepalen of de Autoriteit Persoonsgegevens ingelicht moet worden. Daaruit volgt het eventueel inlichten van de betrokkenen.

Logboek

U moet aantoonbaar kunnen maken dat u bezig bent met de AVG. Heeft u bijvoorbeeld al bijeenkomsten bijgewoond om over de AVG geïnformeerd te worden? Dan kan dat opgenomen worden in het logboek. Heeft u uw privacybeleid hernieuwd? Heeft u uw verwerkingsregister opgesteld? Kan er ook in. Eigenlijk alle stappen die uw onderneming zet voor het voldoen aan de AVG kan vastgelegd worden in het logboek.

Verwerkersovereenkomsten

Wanneer u andere partijen inschakelt om persoonsgegevens voor u te verwerken, dan moet u met deze organisaties een zogenoemde verwerkersovereenkomst afsluiten. U blijft als opdrachtgever namelijk altijd verwerkingsverantwoordelijke van de persoonsgegevens, ook al is de derde partij de uitvoerder. U bepaalt dus wat er moet gebeuren met de gegevens en hoe. In de overeenkomst legt u onder andere vast wat het onderwerp en de duur van de gegevensverwerking is, de aard en het doel, de soort persoonsgegevens, de categorieën van betrokkenen en de rechten en plichten van de verwerkingsverantwoordelijke. Zo voorkomen we met z’n allen dat er persoonsgegevens in handen van partijen vallen die daar geen toestemming voor hebben gehad.

Uiteraard omvat de AVG nog veel meer zaken dan alleen wat wij hier zojuist benoemd hebben, maar iedereen moet ergens beginnen. Wilt u meer informatie over de AVG, zit u met een bepaald vraagstuk of wilt u graag ondersteuning in het opmaken van een register of een logboek? Neem dan contact met ons op.

GA TERUG