In mei 2018 zal, zoals je wellicht al hebt vernomen, de Algemene Verordening Gegevensbescherming (AVG), in het Engels ook wel General Data Protection Regulation (GDPR) , van kracht worden. Grofweg houdt deze verordening in dat voor heel Europa dezelfde regels gaan gelden ten aanzien van het verwerken van persoonsgegevens.

WAT MOET JE DOEN?

Alles wat je binnen de AVG-wet geregeld moet hebben is onder te verdelen in vier hoofdgebieden.

Juridisch: je bent verplicht om zaken juridisch vast te leggen. Van geheimhoudingsverklaringen, een officiële privacy policy tot aan contracten met je drukkerij en IT-partner.

ICT: zijn software- en virusscanners altijd up-to-date? Zijn er (veilige) back-ups om de persoonsgegevens te beschermen tegen verlies of ransomware? En is jouw cloud-oplossing wel Europees? Dit en meer moet je onderzoeken en goed regelen!

Organisatie-procedures: ook intern moet er van alles vastgelegd zijn. Heb je een procedure omtrent de gegevens van ex-leden? Ligt er vast wie waar toegang toe heeft? En weet je wat moet doen als er een usb-stick met persoonsgegevens kwijt is?

Opleiding: alle medewerkers/vrijwilligers moeten geïnformeerd c.q. opgeleid worden omtrent de wetgeving. Wat mogen zij wel en wat niet? Maar bovenal ook: wie wordt hier verantwoordelijk voor en zorgt dat het ook bij nieuwe medewerkers gewaarborgd wordt.

WAT DE WET VAN JE VERWACHT

VASTLEGGEN WELKE PERSOONSGEGEVENS JE ALLEMAAL BIJHOUDT

Zoals naam, adres, postcode, woonplaats, mobiele nummers, e-mailadressen, bankrekeningnummers. Misschien ook bijzondere gegevens, zoals gezondheidsproblemen, allergieën of zaken die gaan over politieke voorkeur, afkomst en ras.

ZORGVULDIG MET JE PERSOONSGEGEVENS OMGAAN

Behandel e-mails, dossiers en digitale data voorzichtig. Zorg voor beleidsvorming in je organisatie.

JE IT-ZAKEN BEVEILIGEN

De beveiliging van gegevens moet in orde zijn. Denk aan Excel-bestanden, een CRM, het ledenbestand, mails, je tablet, laptops en smartphones met ledengegevens. Je bent verplicht voor goede beveiligingssoftware zoals antivirusprogramma’s te zorgen.

ALLE JURIDISCHE ZAKEN REGELEN

Alles moet officieel vast gelegd zijn in zgn. verwerkersovereenkomsten met elke partij die in contact komt met jouw klantgegevens. BestCamp gebruikt hiervoor haar eigen standaardcontracten die zijn ontworpen en sluit aan bij leveranciers die zelf ook al contractueel aan de AVG-uitgangspunten voldoen.

Verantwoording en sancties

Je zult als bedrijf ook aan moeten kunnen aantonen welk rechtmatig doel je hebt voor het verwerken van persoonsgegevens.

Het is dan ook evident dat er een strengere handhaving gaat volgen op de nieuwe regelgeving. Indien jouw bedrijfsvoering niet in overeenstemming is met de AVG kun je een boete verwachten die kan oplopen tot wel €20.000.00 of 4% van de jaaromzet.

De 10 belangrijkste AVG/GDPR punten:

  1. Zorg voor bewustwording binnen je bedrijf
    Zijn alle relevante personen binnen je bedrijf op de hoogte van de nieuwe AVG/GDPR wet- en regelgeving?
  2. Evalueer de huidige verwerking van persoonsgegevens
    Welke gegevens verwerk je en met welk doel? Hoe kom je aan deze gegevens en met wie deel je ze? Dit kun je zien als een AVG/GDPR-nulmeting.
  3. Geef betrokkenen de juiste rechten
    De AVG/GDPR bepaalt dat iedereen het recht heeft op inzage en het recht heeft op correctie en verwijdering van eigen persoonsgegevens. Bied je deze mogelijkheid op alle plaatsen waar persoonsgegevens worden verwerkt? Volgens de AVG/GDPR heeft iedereen altijd het recht om de eigen persoonsgegevens op te vragen en geheel kosteloos binnen maximaal dertig dagen te ontvangen.
  4. Data Protection Impact Assessment uitvoeren; ja of nee?
    Wellicht moet je een DPIA (Data Protection Impact Assessment) uitvoeren voor je bedrijf. Zeker als de gegevensverwerking een hoog privacyrisico met zich meebrengt, kan dit een eis zijn. De DPIA zorgt voor meer inzicht in mogelijke risico’s en de maatregelen om deze te verkleinen.
  5. Functionaris voor gegevensbescherming
    Is jouw bedrijf verplicht een FG aan te stellen, oftewel Functionaris Gegevensbescherming? Wacht dan niet langer met het werven van deze FG. Ook al zal dit in de meeste gevallen niet verplicht zijn, is het toch verstandig iemand binnen de organisatie hiervoor aan te wijzen. Dit zorgt voor de juiste focus, structuur en procedures.
  6. Datalek meldplicht
    De AVG stelt duidelijke strenge eisen aan de registratie en melding van datalekken. Elk datalek moet worden gedocumenteerd zodat gecontroleerd kan worden of je aan de meldplicht voldoet. Een datalek dient binnen 72 uur aan de toezichthouder gemeld te worden.
  7. Verwerkersovereenkomst
    Is (een deel van) de gegevensverwerking uitbesteed aan een derde partij, dan ben jij de verwerkingsverantwoordelijke en degene aan wie je het uitbesteedt is de verwerker of subverwerker. Beoordeel of de afspraken in lopende contracten toereikend zijn t.a.v. de AVG/GDPR. Wanneer dit niet het geval is, moeten de noodzakelijke aanpassingen worden gemaakt.
  8. Privacy statement en cookie verklaring aanpassen
    Door transparant te zijn op de website over welke gegevens worden verwerkt en op welke manier deze worden gebruikt, kun je veel onduidelijkheid voor je relaties, bezoekers en de toezichthouder voorkomen. Bovendien is het een voorwaarde om duidelijk te zijn en juridische termen te minimaliseren.
  9. Privacy by default en privacy by design
    Privacy by design betekent dat je bij het ontwerpen van producten en diensten al zorgt voor bescherming van persoonsgegevens. Je mag volgens het principe van Privacy by design ook alleen de absoluut noodzakelijke gegevens vragen. Bovendien mogen deze gegevens niet langer dan nodig worden bewaard, wettelijke bewaartermijnen volgens bijvoorbeeld de belastingdienst respecterend.
    Privacy by default vereist dat de standaardinstellingen altijd zo privacyvriendelijk mogelijk moeten zijn. Als voorbeeld het vakje ‘Ja, ik wil de nieuwsbrief ontvangen’ op je website. Deze mag niet vooraf al aangevinkt zijn. Het moet een bewuste keuze en actie zijn van de betrokkene.
  10. Toestemming voor het versturen van mails
    Ook onder de nieuwe AVG/GDPR kun je nog steeds e-mails met aanbiedingen versturen aan je relaties. Je bent alleen wel aan iets strengere regels gebonden. Belangrijk is dat de ontvanger van de mails expliciet en aantoonbaar toestemming heeft gegeven om deze te ontvangen. Dubbele opt-in is nog steeds niet verplicht maar gezien de strenge voorwaarden een absolute aanrader. Hierdoor ben je namelijk zeker dat de echte betrokkene/gebruiker de toestemming heeft verleent.

Hulp van Stay in Motion

Stay in Motion is geheel ingelezen en inhoudelijk op de hoogte van de ins-en-outs van de AVG. Zo ben ik intern en extern Functionaris Gegevensbescherming (Data Protection Officer) waarmee ik organisaties en ondernemers help en ontlast.


Benieuwd hoe ik jou kan helpen?

Je kunt natuurlijk ook bellen of een Whatsapp bericht sturen: +31630930865