Razendsnel AVG-conform
Ruim twee maanden terug publiceerde Autoriteit Persoonsgegevens een eerste boetebericht naar aanleiding van een sommering en betaling van bank Theodoor Gilissen Bankiers (TGB). De schade? € 48.000,-. TGB verleende een voormalig cliënt géén inzage in zijn persoonsgegevens. Het openbare bericht geldt als statement: de AVG is écht en ieder die niet schikt kan en zal op de blaren zitten – zo ook de ZZP’er en het MKB. Schikken vergt inzet, bewustwording is het halve werk. Om jou stap naar AVG-conformiteit te helpen maken, zetten wij de belangrijkste stappen voor het MKB op een rij.
Bewustwording
‘Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels’, stelt de Autoriteit Persoonsgegevens. Beleidsmakers vind je in corporaties; onder de ‘relevante mensen’ in jouw kantoor valt vrijwel iedere medewerker, van marketeer of salespersoon tot HRmedewerker of administrateur. Gaat het om gegevensverwerking, dan is iedereen relevant, want óók fysieke gegevens – bijvoorbeeld geprinte documenten - dienen volgens de regels behandeld te worden.
Rechten van betrokkenen
De Autoriteit Persoonsgegevens vervolgt: ‘Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Bereid u daar op voor zodat u op tijd en op de juiste manier op verzoeken reageert.’ Het recht op inzage, een recht voor ieder op het inzien van opgeslagen persoonlijke gegevens en het recht op correctie en verwijdering – een recht op correctie en aanpassing van diezelfde gegevens – staan hierbij centraal.
Toegevoegd is het recht op dataportabiliteit, wat inhoudt dat betrokkenen hun gegevens gemakkelijk moeten kunnen ontvangen en doorgeven. Oefent een betrokkenen het recht op inzage uit, dan dien jij diegene te voorzien van gegevens, ongeacht hoe deze geregistreerd zijn. Beschik je uitsluitend over materiële gegevens, bijvoorbeeld in vorm van een papierdocument, dan dien je een digitalisatiemethode te hebben, zodat deze vlot toegestuurd kunnen worden. Denk daarbij aan een efficiënte en veilige scanner.
Overzicht verwerkingen verwerkingsovereenkomst
‘Breng uw gegevensverwerking in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.’ Iedere gegevensverwerker, wat vertaalt naar ieder bedrijf, heeft een verantwoordingsplicht. Zo ook de beboete Theodoor Gilissen Bankiers: het bedrijf kon niet voldoende aantonen dat zij in overeenstemming met de AVG handelde, dus voldeden zij hieraan niet. Bij aanvraag van de Autoriteit Persoonsgegevens dient het overzicht van verwerkingen dus klaar te liggen.
Besteed je je gegevensverwerking uit aan een andere partij (denk aan e-mailmarketingen accountancysoftware) dan moet er een zogenoemde verwerkingsovereenkomst tot stand komen. In de praktijk is dat een schriftelijke afspraak en bevestiging dat jouw aangeleverde gegevens verantwoord verwerkt worden, en gereed staan voor inzage en aanpassing. Onder de verantwoording van jouw gegevensverwerker valt tevens een bewuste omgang met materiële gegevens.
Specificaties voor zowel de privacyregelgeving als de consumentenrechten en verwerkersovereenkomsten vind je op de website van Autoriteit Persoonsgegevens, onder categorie ‘Zelf doen’.
De printer
In onze richtlijn verwijzen we naar fysieke, ofwel materiële, gegevens. Dat is niet toevallig: de AVG wordt vooral in digitale sferen besproken en verteerd, terwijl de privacywetten documentenlades niet scheiden van datawarenhuizen. Van aanvullend belang is dus een bewuste omgang op de kleinere schaal – de kantoorschaal. Printer- en scannerontwerper OKI zorgt niet enkel dat zijn MFP’s uitgerust zijn met zowel netwerk- als opslagbeveiliging, maar licht op de website uitgebreid toe hoe onder andere deze functies bijdragen aan jouw AVG-conformiteit, en daarmee ieders recht op privacy. Printers dragen evengoed bij aan verwerken.
Lees meer
