Laat die AVG maar komen!

Wees alert met de invoering van de Algemene Verordening Gegevensbescherming

Bert van Rijssen
Odoo CMS - een grote afbeelding

02-03-2018

Als ondernemer zit je niet wachten op heel veel rompslomp rondom deze nieuwe persoonsgegevenswet. Het is veelomvattend en belastend. Toch kun je in een paar stappen klaar zijn voor deze nieuwe wet. Ik heb een aantal aandachtspunten en tips op een rij gezet waar je concreet mee aan de slag kunt.

Met de komst van Algemene Verordening Gegevensbescherming per 25 mei 2018 is het goed om eens te checken wat jij als ondernemer nog moet doen. Zoals in mijn vorige blog omschreven is het belangrijk om hierover na te denken en dit op papier te hebben. Niemand wil immers een boete ontvangen.

Wie is de AVG-specialist?

Gezien wij geen AVG-specialist zijn, werken we samen met Marjos de Bruin van Bureau Marjos Leroy [AVG adviseur] en Mathijn Slomp van Slomp & De Graaf Adviseurs [financieel en verzekeringsadviseur]. Marjos helpt met de bedrijfsvoering en processen op de AVG in te richten en Mathijn zorgt ervoor dat het beleid vertaald wordt naar een positieve businesskans. Uiteindelijk doen wij de technische uitvoering en de beveiliging van je ICT omgeving. Uiteraard denken we met je mee. Een aantal belangrijke aandachtspunten hebben we alvast op een rij gezet:

1. Het grootste risico ben jij

Je kunt je systemen nog zo goed inrichten, maar de gebruiker blijft het grootste risico. Uit onderzoek van de Autoriteit Persoonsgegevens blijkt dat het hacken van systemen voor slechts 6% van de gevallen oorzaak is van een data-lek. Persoonsgegevens versturen of afgeven aan de verkeerde persoon is in 46% gevallen de oorzaak. Probeer daarom bewust en met betrokkenheid om te gaan met alle data die je hebt. Check onder andere een extra keer of je gegevens wel aan de juiste persoon verstrekt.

2. Risicoanalyse en gezond verstand gebruiken

Maak een risicoanalyse van je opslag en beheer van persoonsgegevens. Vraag jezelf af of je hetzelfde doel kan bereiken met minder persoonsgegevens. En wees kritisch wie er met die gegevens moet werken; kun je dat misschien verder beperken? Soms is het nodig om een Data Protection Impact Assesment uit te voeren, zeker als je nieuwe technologieën wilt gaan gebruiken of bijzondere persoonsgegevens verwerkt (let op, hier valt zelfs het BSN al onder). Zorg in ieder geval voor een afweging met deze drie punten: veiligheid, toegankelijkheid en functionaliteit. En wel op zo'n manier dat het realistisch is in de praktijk en het uit te voeren is. Marjos kan je hier bij helpen.

3. Het verwerkingsregister

Het is vrijwel altijd verplicht om vast te leggen welke persoonsgegevens je met welk doel registreert. Dat doe je in een verwerkingsregister en dat kan relatief simpel in een Excel sheet gemaakt worden. In dat register staat ook de verantwoordelijke, de bewaartermijn en de technische en organisatorische maatregelen die je hebt getroffen voor het veilig omgaan met die persoonsgegevens. Let op! Je hebt vaak verschillende rollen. Voor je eigen klantenbestand en data ben je verwerkingsverantwoordelijke maar bij je klanten (bijvoorbeeld in ons geval met de Office 365 abonnementen of webhosting die wij verkopen) kan je ook bij persoonsgegevens komen en in dat geval ben je soms een verwerker en krijg je te maken met verwerkersovereenkomsten.

4. Help, wat nu?

Ik heb in deze blog maar een heel klein deel van de AVG kunnen toelichten. Zo heb ik het nog niet eens gehad over het meest ingrijpende onderdeel, namelijk de rechten van betrokkenen. Die houden in dat jouw klant kan vragen om inzage, aanpassing of verwijdering van zijn persoonsgegevens in jouw database. En heb je wel een goede privacyverklaring opgesteld, waarin je toelicht welke gegevens je met welk doel verwerkt? Kortom, er is nog veel te doen. Een paar tips om je op weg te helpen:

TIPS

  • Als je een formulier op je website hebt staan, dan mag niet standaard het vinkje ‘Abonneren op de nieuwsbrief’ ingeschakeld staan. In de AVG wordt dit omschreven als Privacy by design en Privacy by default. Vuistregel; richt je systemen privacyvriendelijk in en laat de betrokkene (je klant) zelf keuzes maken. Leg die keuzes ook vast, zodat je kan aantonen dat je toestemming hebt van de betrokkene voor de verwerking van die persoonsgegevens.
  • Hanteer plan-do-check-act methode, omdat je doorlopend bezig moet zijn met beveiliging van persoonsgegevens. Je bent eigenlijk nooit klaar met de AVG. Je krijgt te maken met de DPIA, aanpassen en aanvullen van je verwerkingsregister, nieuwe verwerkersovereenkomsten of het updaten van je privacyverklaring.
  • Bezoek de website hulpbijprivacy.nl van de Autoriteit Persoonsgegevens eens. Hier staat een hele handige AVG Regelhulp tool die je door alle stappen van de AVG heen leidt en een concreet to-do lijstje geeft hoe jij AVG proof kan worden. Loop die eens door, werk de punten uit en vraag Marjos of mij om die te beoordelen. Dan weet je zeker dat je de zaken goed op orde hebt.
  • Ben je ZZP'er of kleine onderneming en wil je aan de slag met de AVG, maar weet je niet goed hoe? Marjos organiseert drie AVG Werkdagen in maart en april waar je zelf, met begeleiding van Marjos, aan de slag kunt met de AVG op basis van een stappenplan en formats die Marjos je die dag aanbiedt. Interesse? Bekijk hier alle informatie en meld je aan!

Technische maatregelen in de praktijk

Als het aankomt op de technische maatregelen en ICT, dan kunnen wij je helpen. Denk hierbij aan:

  • Het veilig inrichten van je (draadloos) netwerk.
  • Het regelmatig maken van back-ups.
  • Het updaten en patchen van je systemen zoals je computers, mobiele apparaten en netwerkapparatuur.
  • Het versleutelen van verbindingen, zoals HTTPS op je website, NAS of cloudoplossing.
  • En nog veel meer...

Kortom, er is werk aan de winkel. En dat hoef je niet allemaal alleen te doen. Hulp nodig of heb je nog vragen? Bel ons voor een vrijblijvend gesprek op 085 - 210 12 02 of stuur een mail naar info@rijssolutions.nl

Delen