Hoe zorg ik ervoor dat mijn bedrijf goed voorbereid is op de nieuwe privacywet?

Roel Keijzer: “De nieuwe privacy wet, de Algemene Verordening Gegevensbescherming (AVG) is eigenlijk al in mei 2016 ingegaan. De overheid verwacht dat u al sinds die tijd bezig bent met het invoeren van de noodzakelijke maatregelen om aan de wet te voldoen. De nieuwe privacyregels vragen om een investering en de deadline voor volledige implementatie van de regels is 25 mei 2018. Wij zetten voor u uiteen wat u moet doen om te voldoen aan de AVG.”

Wat betekent dit voor u?

“Na 25 mei 2018 mag iedereen een willekeurig bedrijf op de naleving van de AVG aanspreken. Het is niet zo dat alleen grote bedrijven zullen worden gecontroleerd of aansprakelijk zijn onder de nieuwe wet. Webshops, financiële dienstverleners en gewoon iedereen die met klantendata werkt, krijgt zonder enige twijfel te maken met deze wetgeving. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet. Zorg er dus voor dat uw bedrijf klaar is voor de deadline!”

1. Breng de verwerking van uw privacygegevens volledig in kaart

Hiermee bedoelen we alle persoonsgegevens die u verwerkt als bedrijf en met welk doel u dit doet. Maar ook waar deze gegevens vandaan komen en met wie u ze allemaal deelt.

2. Zorg dat de gegevens van uw klanten veilig en inzichtelijk zijn

De mensen van wie u persoonsgegevens verwerkt krijgen meer en verbeterde privacyrechten door deze nieuwe wet. Ze moeten hun gegevens gemakkelijk kunnen inzien, laten corrigeren en verwijderen of kunnen doorgeven aan een andere organisatie.

3. Voer een privacy impact assessment (PIA) uit

De PIA is een middel om vooraf de privacy risico’s van gegevensverwerking in kaart te brengen, waarna u maatregelen kunt nemen om de risico’s te verkleinen. De werkgroep van Europese privacy toezichthouders heeft criteria opgesteld om zo’n risico te bepalen.

4. Verwerk de “Privacy by default” in uw bedrijfsvoering

Dit houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken met uw bedrijfsvoering. U kunt hierbij bijvoorbeeld denken aan het vakje op uw website ‘Ja, ik wil aanbiedingen ontvangen’ niet standaard al op aangevinkt te zetten. 

5. Controleer de privacyverklaring van uw bedrijf

De privacyverklaring moet door de nieuwe wetgeving meer gedetailleerde informatie bevatten en in begrijpelijke taal zijn geschreven.

6. Ga na of uw bedrijf verplicht is een functionaris voor de gegevensverwerking aan te stellen

Sommige organisaties zijn verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Bijvoorbeeld als uw bedrijf op grote schaal personen observeert met camera’s of wanneer u gegevens over iemands gezondheid verwerkt. Wacht hier niet te lang mee. Uiteraard mag uw organisatie ook vrijwillig een (parttime of fulltime) FG aanstellen.

7. Documenteer alle datalekken en zorg voor een duidelijke procedure

Aan het melden van datalekken worden strenge eisen gesteld. U doet er goed aan om een duidelijk en uniform stappenplan te lanceren over wat u moet doen bij een vermoeden of kennisname van een datalek.

8. Controleer of uw bewerkersovereenkomsten aan de nieuwe wetgeving voldoen 

Wanneer u persoonsgegevens door een externe partij laat bewerken, bijvoorbeeld bij het uitbesteden van uw salarisadministratie, dan moet u met die partij een bewerkersovereenkomst (deze heet straks een verwerkersovereenkomst) afsluiten. Ga dus na of die overeenkomsten nog actueel zijn. Bij meerdere vestigingen in meerdere EU-lidstaten en/of gegevensverwerkingen in meerdere lidstaten is nog maar één privacy toezichthouder nodig

9. Bij meerdere vestigingen in meerdere EU-lidstaten en/of gegevensverwerkingen in meerdere lidstaten is nog maar één privacy toezichthouder nodig

Heeft u meerdere vestigingen in de EU, dan moet u bepalen onder welke leidende privacy toezichthouder uw bedrijf valt

10. Evalueer de wijze waarop u toestemming vraagt, krijgt en registreert

De nieuwe wet verplicht u aan te tonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. Ook moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven. Bekijk dus hoe u nu de toestemming vraagt en hoe u vastlegt dat deze toestemming is gegeven.

Tip: Voorkom onnodige torenhoge boetes en begin op tijd met de technische, administratieve en organisatorische maatregelen om u aan deze nieuwe privacywet te houden!

Meer weten? Neem dan snel contact met ons op. dat kan telefonisch via 0348 – 407 238 of per mail info@lenkzeg.nl.

Bron: deondernemer.nl