De AVG, wat moet je er als ondernemer mee?

De AVG, wat moet je er als ondernemer mee?

In mei 2018 werd de Algemene Verordening Gegevensbescherming (AVG) dwingend van kracht. Inmiddels is dat alweer drie jaar geleden. De verplichtingen uit de AVG bracht veel commotie teweeg. Veel ondernemers ervaren het nog steeds als lastige en onnodige ballast voor de bedrijfsvoering. De recente nieuwsberichten over incidenten en datalekken laten echter zien dat de beveiliging van persoonsgegevens serieus genomen moet worden en nog veel te wensen overlaat. Met deze blog wil ik zeer beknopt de AVG-onderdelen belichten die voor iedere ondernemer, van eenmanszaak tot multinational, in meer of mindere mate van toepassing zijn. De AVG eist aantoonbaarheid, dus alles moet uitgeschreven of op een andere manier inzichtelijk zijn.

Beleid en uitvoering

Belangrijk is natuurlijk dat je een beleid voert wat erop gericht is dat de verwerking van persoonsgegevens overeenkomstig de AVG plaatsvindt. Dit beleidsstuk hoeft geen immens boekwerk te zijn. Op enkele A4’tjes beschrijven wat je nastreeft.

In het privacyprotocol wordt specifieker beschreven hoe en op welke wijze het beleid wordt uitgevoerd. Met het protocol geef je tevens instructies aan medewerkers om persoonsgegevens in navolging van het beleid te verwerken.

Inzicht in de verwerking

Alle bedrijfsprocessen waarmee persoonsgegevens worden verwerkt moeten zijn opgenomen in het Register van verwerkingsactiviteiten (dataregister). De vorm van dit register laat de AVG vrij. De inhoud van het register moet aan de vereisten uit artikel 30 AVG voldoen. Het dataregister is een inventarisatie van alle verwerkingen en moet op eerste verzoek van de Autoriteit Persoonsgegevens (AP) kunnen worden overlegd.

De AVG regelt dat de verwerking van persoonsgegevens met passende technische en organisatorische maatregelen wordt beveiligd. Ondanks deze inspanningen gaat het toch vaak mis. In de onderneming moet daarom in een protocol geregeld zijn op welke wijze beveiligingsincidenten en datalekken overeenkomstig de AVG worden afgehandeld. Het niet juist opvolgen van datalekken kan door de AP zwaar worden beboet.

In sommige gevallen moet voorafgaand aan de verwerking een risicobeoordeling worden uitgevoerd (DPIA). Een DPIA geeft een goed beeld van de verwerking en eventuele tekortkomingen in de beveiliging. De AP heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA verplicht is.

Informatie ven transparantie

De ondernemer moet zijn websitebezoekers, klanten, relaties en eventuele werknemers informeren over de verwerking van hun persoonsgegevens, op welke wijze dit gebeurt en hoe zij hun rechten hierop kunnen uitoefenen. Het informeren van klanten en relaties kan je uitstekend doen met een privacyverklaring of -policy op je website. Het informeren van je medewerkers doe je bij voorkeur met een privacyverklaring voor medewerkers.

Privacybewustheid

Het verwerken van persoonsgegevens gebeurt in grote mate digitaal met computers. Het is echter nog altijd de mens die aan de knoppen zit. Zo’n 80% van de datalekken gebeuren door menselijk handelen. Het is daarom van belang om medewerkers bewust te maken van het veilig werken met persoonsgegevens. Bewustwording kan worden gecreëerd door het beleid uit te dragen en de AVG regelmatig onder de aandacht te brengen met nieuwsbrieven of korte workshops.

Afhankelijk van de aard van je onderneming neemt het implementeren van dit soort zaken meer of minder tijd in beslag. Een eenmanszaak zal immers minder bedrijfsprocessen hebben dan een multinational. De essentie is dat de AVG op bovenstaande onderdelen geen onderscheid maakt.

Wil je meer weten of ben je nieuwsgierig naar wat ik voor jouw onderneming kan betekenen? Dan kom ik graag bij je langs voor een kop koffie!

Jan Faasse

Faasse Juridische Dienstverlening

www.faassejuridischedienstverlening.nl

jan@faassejd.nl