Nieuwe privacywet: dit moet je als eerste doen

Carolien Lasonder
Vanaf 25 mei 2018 geldt er een nieuwe wet op het gebied van privacy, de Algemene Verordening Gegevensbescherming (AVG). Ondernemers, groot en klein, moeten aan de AVG voldoen. De nieuwe wet verwacht van ondernemers dat zij in kaart brengen hoe zij omgaan met persoonsgegevens: welke gegevens zij verwerken, wat er met de gegevens gebeurt en wat de vereniging doet om die gegevens te beschermen.

Verantwoordelijkheid

Het valt mij op dat veel ondernemers er wel vanaf weten, maar niet exact wat de praktische gevolgen zijn. Men moet zich er nog in verdiepen en weet daarmee ook nog niet welke stappen zij moeten nemen. Bijna alle ondernemers verwerken in meer of mindere mate persoonsgegevens of zelfs bijzondere persoonsgegevens. Denk bijvoorbeeld aan het aanleggen van een database met gegevens over klanten. Deze gegevens worden gebruikt voor bijvoorbeeld marketingdoeleinden of het versturen van nieuwsbrieven.

Bovendien worden deze gegevens vaak met anderen gedeeld. Denk bijvoorbeeld aan het uitbesteden van de facturatie. Voor deze gegevens en de verwerking daarvan ben je als ondernemer verantwoordelijk. Dit betekent dat je moet kunnen aantonen dat je met de gegevens mag doen wat je doet. Soms heb je expliciet toestemming nodig voor het verwerken van gegevens. Ook moet je de gegevens beschermen tegen onjuist gebruik, datalekken en diefstal.

Stappenplan

Er moet heel wat gebeuren en 25 mei 2018 is eerder dan je denkt. Breng daarom als eerste in kaart wat je moet gaan doen. Ga vandaag nog aan de slag met een stappenplan, zodat je de tijd hebt om de zaken goed te regelen. Begin bijvoorbeeld met de volgende stappen:

  1. Welke gegevens heb je?
  2. Waarvoor gebruik je deze gegevens?
  3. Wie heeft er beschikking over welke gegevens?
  4. Wat doe je om de bescherming van deze gegevens te waarborgen?
  5. Wat moet er nog gebeuren om aan de AVG te voldoen?

Hiermee krijg je in ieder geval inzicht in de zaken die je vóór 25 mei 2018 op orde moet hebben en wat dat voor jou en jouw onderneming betekent. Stap 1 op weg naar ‘privacyproof’ is gezet. Uitgangspunten Uitgangspunten van de AVG zijn transparantie en verantwoording. Dit betekent dat je duidelijk moet zijn over wat je met de gegevens doet en dat je de keuzes die je daarin maakt kunt verantwoorden. Dit speelt bijvoorbeeld op de volgende gebieden:

  • Juridisch: toestemming, privacyverklaringen, verwerkersovereenkomsten;
  • Automatisering: beveiliging, cloudvoorzieningen, back-ups;
  • Procedures: wie heeft toegang tot welke gegevens, vaste routeverwerking van gegevens, handelswijze bij incidenten;
  • Menselijk handelen: weet iedereen wat vanuit privacy wel en niet mag en van hem verwacht wordt? Wie zorgt ervoor dat deze kennis bij iedereen up-to-date blijft?
afbeelding van Carolien Lasonder

CarolienLasonder | Adviesdeskcoördinator - senior jurist bij DAS.

Bekijk alle artikelen vanCarolien