Dit moeten ondernemers weten over AVG

De Algemene Verordening Gegevensbescherming (AVG) is op 25 mei 2018 ingegaan. Niet voldoen aan deze nieuwe privacywetgeving kan een fikse boete opleveren met sancties tot 20 miljoen euro of 4% van de wereldwijde omzet. Ondernemers krijgen er al mee te maken door het uitsturen van een factuur of nieuwsbrief.
Iedereen in de organisatie moet worden bijgepraat over de nieuwe privacyregels. (Foto: Adobe Stock)

Privacyrechten van klanten of gebruikers worden met de AVG versterkt en uitgebreid. De Europese Unie kent hiermee één privacywet. Internationaal staat de AVG bekend als General Data Protection Regulation (GDPR).

Voor wie is de AVG?

Deze Europese privacywetgeving is er voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers hebben ermee te maken, ook zzp'ers en klein mkb. Bijvoorbeeld door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Of het bijhouden van afspraken met klanten, contactgegevens van klanten (zoals adres, e-mailadres of telefoonnummers) of personeelsinformatie. Ook stichtingen en verenigingen en internationale bedrijven die zaken doen met de EU moeten zich houden aan de AVG.
Door de AVG heeft de ondernemer verantwoordingsplicht. Die moet kunnen aantonen dat de juiste organisatorische en technische maatregelen genomen zijn om aan de AVG te voldoen. Hij moet kunnen bewijzen dat er geldige toestemming is voor het verwerken van persoonsgegevens. Er is een 10-stappenplan ontwikkeld.
Stap 1: Bewustwording

Zorg dat iedereen in de onderneming bekend is met de nieuwe privacyregels.
Stap 2: Informeren

De privacyverklaring of een verwijzing naar de privacyverklaring moet eenvoudig te vinden zijn, daar waar u om persoonsgegevens vraagt. In de privacyverklaring staan in ieder geval:
•   bedrijfsgegevens
•   het doel van de gegevensvastlegging
•   welke gegevens verzameld worden
•   aan wie de gegevens eventueel doorgegeven worden
•   hoe lang de gegevens bewaard worden
•   uitleg over cookies en de reden van gebruik (bij gebruik van cookies)
•   de door toegepaste beveiliging van de vastgelegde persoonsgegevens
•   het recht op inzage, correctie, verwijdering en het meenemen van eigen gegevens (dataportabiliteit)
•   het recht op intrekking van verleende toestemming
•   het recht om een klacht in te dienen
Stap 3: Verwerkingsregister

De AVG verplicht organisaties om de verwerking van persoonsgegevens bij te houden in een register. Deze verplichting geldt voor vrijwel alle organisaties.
De ondernemer is verplicht om met een register te werken waarin hij de verwerking van persoonsgegevens bijhoudt, als de organisatie:
•   persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of
•   risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of
•   meer dan 250 medewerkers heeft.
Stap 4: Beoordeling impact met DPIA

Bij het verwerken van gegevens met een hoog privacyrisico is een ‘data protection impact analyse’ (DPIA) verplicht. Met deze gegevensbeschermingseffectbeoordeling brengt u de privacyrisico’s van de verwerking van gegevens in kaart. Blijkt uit de DPIA dat de privacyrisico’s hoog zijn, dan kan de onderenemer maatregelen nemen om de risico’s te verkleinen.
Stap 5: Inrichten systemen

Bij het inrichten van uw systemen kunt de ondernemer technisch al een zorgvuldige omgang met persoonsgegevens afdwingen.
Vraag geen gegevens op die niet nodig zijn. Voor de verzending van een e-mailnieuwsbrief is bijvoorbeeld geen woonadres nodig. In de AVG wordt dat privacy by design genoemd. Er mag bijvoorbeeld geen (web)formulier gebruikt worden waarop al een vakje is aangevinkt. Ook mag er niet automatisch informatie naar iemand toegezonden worden zonder dat diegene daar vooraf toestemming voor heeft gegeven.
Stap 6: Toezicht

In bepaalde gevallen is het verplicht om voor de organisatie een functionaris gegevensbescherming (FG) aan te stellen, ook wel data protection officer (DPO), genoemd. De funtionaris gegevenbescherming is een onafhankelijk persoon die binnen de organisatie adviseert en rapporteert over naleving van de AVG.
Stap 7: Datalekken documenteren en melden

Een datalek is er als databestanden worden gehackt of als de organisatie onbedoeld toegang geeft tot bestanden. Ook een gestolen laptop of zoekgeraakte usb-stick is een datalek. De AVG verplicht de ondernemer om binnen de organisatie alle datalekken vast te leggen en te documenteren. Een datalek moet zo snel mogelijk na ontdekking, zo mogelijk binnen 72 uur, worden gemeld bij de Autoriteit Persoonsgegevens.
Stap 8: Een verwerkersovereenkomst afsluiten

Als een ander bedrijf de persoonsgegevens voor een onderneming verwerkt en opslaat, dan moet met dat bedrijf een verwerkersovereenkomst afgesloten worden.
Stap 9: Leidende toezichthouder bepalen

Is de organisatie in meerdere EU-landen actief, dan hoeft de ondernemer onder de AVG (GDPR) maar met één privacy toezichthouder zaken te doen, de leidende toezichthouder. Bijvoorbeeld de Autoriteit Persoonsgegevens.
Stap 10: Toestemming

De nieuwe wetgeving stelt strengere eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. De organisatie moet kunnen aantonen dat er geldige toestemming is verkregen. Het gaat om de manier waarop de ondernemer toestemming vraagt, krijgt en registreert.
Meer informatie: www.kvk.nl en https://rvo.regelhulpenvoorbedrijven.nl/avg/
Bron: Kamer van Koophandel
Artikel geplaatst op: 02 augustus 2018 - 13:58

Gerelateerd

Delen