De nieuwe privacyregels van de AVG; je moet er echt iets mee!

Iedere organisatie die persoonsgegevens opslaat, krijgt te maken met de nieuwe privacyregels van de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei a.s. in werking treden.
Dit betekent dat je veranderingen moet doorvoeren in de wijze waarop jij en jouw medewerkers deze gegevens be- en verwerken, bewaren, beveiligen en gebruiken. Doe je dat niet, dan kan de Autoriteit Persoonsgegevens (AP) je fikse boetes opleggen. Zorg dus dat je op tijd AVG-proof bent. Hierna lees je eerst aan welke verplichtingen je ten minste moet voldoen en vervolgens hoe je dit aanpakt.

Verwerkingsregister

Je moet een verwerkingsregister hebben dat je steeds up to date moet houden. Hierin geef je aan welke soort gegevens je in jouw bedrijf verzamelt, waarom en hoe lang je die bewaart. De doelen moeten stroken met wat de nieuwe privacyregels hiervoor toestaan. Zo mag je gegevens verzamelen om een overeenkomst of een wettelijke plicht te kunnen uitvoeren, maar ook als je bij het verzamelen van gegevens een gerechtvaardigd belang hebt of in het geval je daarvoor toestemming hebt van de betrokkenen. Je moet je wel altijd afvragen of het echt nodig is om een gegeven te verzamelen. Voor het verzamelen van bijzondere persoonsgegevens, zoals medische gegevens, gelden andere regels.

Gegevensbeschermingsbeleid

Je moet beleid maken en vastleggen over hoe je persoonsgegevens beschermt, zodat je dit kunt aantonen als de AP daarnaar vraagt. In dit document staat hoe je organisatorisch en qua ICT omgaat met gegevens, waar nodig op onderdelen aangevuld met specifieke procedures.

Informeren betrokkenen

Je moet de personen van wie je gegevens verzamelt, hierover informeren. Dit kunnen jouw klanten zijn, jouw leveranciers en dienstverleners, maar ook jouw werknemers moet je informeren. Je kunt dit doen met een privacyverklaring of via een schriftelijk vastgelegd protocol. Jouw personeel kun je ook informeren via een protocol in de arbeidsovereenkomst of het arbeidsreglement of een apart protocol.

Verwerkersovereenkomst

Sommige zaken besteed je uit. Je laat bijvoorbeeld de loonadministratie van jouw personeel door MCB verzorgen. Deze verwerker krijgt dan toegang tot de persoonsgegevens die jij verzamelt. Of andersom, werkzaamheden worden aan jou uitbesteed. Jij bent dan de verwerker. In beide gevallen moet je met elkaar afspraken maken over wie wat en wanneer doet en wat ieder wel en niet mag doen met de persoonsgegevens. Je legt de afspraken vast in een verwerkersovereenkomst. De verwerker maakt deze overeenkomst meestal op. Ben je niet de verwerker, dan moet je goed nagaan of de voorgestelde afspraken stroken met de eisen van de nieuwe privacyregels.

Protocol melding datalekken en bijhouden register

Tot slot noemen we het protocol voor het melden van een datalek. Jouw medewerker verliest bijvoorbeeld een usb-stick, waarop persoonsgegevens van jouw klanten staan. Of je stuurt een mail naar de verkeerde persoon. In het protocol ligt dan de procedure vast die jij en jouw medewerkers moeten volgen voor het melden van de datalek. Je houdt de datalekken bij in een register.

De aanpak

Er zijn veel dingen die je moet regelen, maar waar moet je beginnen? Het is verstandig om eerst een nulmeting te doen. Je inventariseert dan eerst welke gegevens en van wie je nu verzamelt en waarom je die verzamelt. Dit kunt je doen door eerst jouw applicaties en bedrijfsprocessen te doorlopen. Je legt de uitkomst naast de eisen van de nieuwe privacyregels voor het verwerken en beveiligen van deze gegevens. Zo krijg je een beeld van waar je iets moet wijzigen en nog maatregelen moet treffen.

De Autoriteit Persoonsgegevens heeft een stappenplan opgesteld. Deze kun je nalezen op hun website.

Meer weten?

Wil je graag een persoonlijk advies over dit onderwerp? Mail of bel: 088-3458430 en vraag naar Johan de Beuze.