23 JAN, 2018 • Actueel

Zo bereid je je als ondernemer voor op de nieuwe privacy wet

Wat?! Ben je nog niet privacy proof? Dan mag je wel opschieten als ondernemer. Want the clock is ticking: 25 mei treedt de nieuwe privacywet in werking. Dit zijn de 7 dingen waar je als ondernemer direct mee aan de slag moet.

 

#1

Denk niet: ‘Ik hoef niets met de nieuwe privacywet.’ De nieuwe privacywet geldt voor álle ondernemers

Met ingang van 25 mei treedt de Europese General Data Protection Regulation (GDPR) in werking, in Nederland de Algemene verordening gegevensbescherming (AVG) genoemd. Die vervangt de huidige Wet bescherming persoonsgegevens.

Ben je ondernemer en verwerk je persoonsgegevens? Dan heb jij dus ook met deze wet te maken. Met verwerken wordt bedoeld: opslaan en gebruiken. Het gaat dan niet alleen om data van klanten en patiënten, maar ook om die van medewerkers, opdrachtgevers en partners. ‘En speculeer vooral niet dat we soepel met de wet omgaan’, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. ‘De AVG is al sinds mei 2016 van kracht, in mei wordt hij echt gehandhaafd. Ondernemers kregen twee jaar de tijd om zich hierop voor te bereiden. Er is geen excuus om straks niet zorgvuldig met privacygegevens om te gaan.’ En dat kan betekenen dat de Autoriteit boetes oplegt. ‘Die boetes zijn een noodzakelijk kwaad. Het is net als met fout parkeren: wanneer niemand een boete krijgt, houdt niemand zich aan de regels.’

 

#2

Trek tijd en geld uit om te voldoen aan de privacywet

Nieuw is dat je voortaan actief moeten aantonen dat je je als ondernemer aan de nieuwe privacywet houdt. Simpel gezegd moet je als bedrijf zo min mogelijk data verwerken, en alleen bewaren wat ook echt noodzakelijk is. Verder ben je verplicht klanten te wijzen op hun recht op inzage van gegevens en de verwijdering daarvan.

AVG-proof worden is niet eenvoudig: het kost tijd, energie en geld. Maar die moet je er als ondernemer dus wel insteken. ‘Om een idee te geven’, zegt Bernardo Walta commercieel directeur bij Goudse Verzekeringen: ‘Wij verwerken persoonsgegevens van zo’n 30.000 cliënten. Daarbij gaat het om gewone data, zoals naam, adres en woonplaats. Maar ook bijzondere, gevoelige data zoals medische informatie en strafrechtelijke gegevens. Ons budget om aan de nieuwe privacywet te voldoen, bedroeg ongeveer 500.000 euro – dat is inclusief de uren van medewerkers die zich met de nieuwe wet bezighouden.’

 

‘voldoen aan de nieuwe privacy- wetgeving kost hoe dan ook geld’

 

#3

Check wat je moet doen: verwerkingsregister aangelegd?

Hoe je als ondernemer laat zien dat je je netjes aan de privacywet houdt? Dat doe je door alle gegevens die je bedrijf verwerkt nauwkeurig te documenteren in een verwerkingsregister. Hierin leg je vast welke gegevens je verzamelt, met welk doel, en voor hoelang. Bedrijven met meer dan 250 medewerkers moeten sowieso zo’n register bijhouden. Kleinere bedrijven lijken uitgezonderd, maar moeten toch al heel snel een register aanleggen: bijvoorbeeld als de data die ze verwerken een hoog privacyrisico voor de persoon inhouden; als de verwerking niet-incidenteel is; of wanneer ‘bijzondere persoonsgegevens’ worden verwerkt, denk aan strafrechtelijke gegevens of gegevens over gezondheid.

De Autoriteit Persoonsgegevens (AP) gebruikt dit verwerkingsregister om te checken of je je zaken omtrent privacy goed op orde hebt. 

De klok tikt door: 25 mei moet iedere ondernemer klaar zijn voor de nieuwe privacywet

De klok tikt door: 25 mei moet iedere ondernemer klaar zijn voor de nieuwe privacywet
Foto: M.Utimishev/ANP

#4

Check wat je moet doen: Privacy Impact Assessment uitgevoerd?

Het blijft niet bij het aanleggen van een verwerkingsregister. Want wie wil weten welke privacyrisico’s er zijn in de organisatie of bijvoorbeeld bij een project, kan een privacy impact assessment (PIA) uit (laten) voeren. Met deze ‘toets’ kun je zien welke gevolgen jouw manier van gegevensverwerking heeft op privacy van de mensen van wie je gegevens verwerkt, en hoe je die impact kunt verkleinen.

 

#5

Check wat je moet doen: functionaris gegevensbescherming aangesteld?

Je kan als ondernemer verplicht zijn een functionaris gegevensbescherming aan te stellen. Of – zoals ie officieel heet – een functionaris voor de gegevensverwerking (FG). Die houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG en is contactpersoon voor de Autoriteit Persoonsgegevens. Naast de overheid zijn – zoals de wet het omschrijft – ‘alleen organisaties die hoofdzakelijk belast zijn met het doen van verwerkingen die vanwege hun aard, hun omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen, verplicht zo’n functionaris aan te stellen én organisaties die hoofdzakelijk belast zijn met het op grote schaal verwerken van bijzondere gegevens.

Snel even checken of je zelf ook zo’n functionaris moet aanstellen? Kijk dan hier.

 

‘reken er niet op dat de autoriteit persoons­gegevens soepel is’

 

#6

Check wat je moet doen: voldoen je leveranciers en bedrijven aan wie je dingen uitbesteedt aan de nieuwe privacywet?

Tot slot is het handig om na te gaan of jouw leveranciers wel aan de nieuwe privacywet voldoen, of de bedrijven waaraan je jouw diensten hebt uitbesteed. Afspraken over het verwerken van ‘jouw’ gegevens en zaken als geheimhouding moeten zijn vastgelegd in een verwerkersovereenkomst.

 

#7

Vraag om hulp om te voldoen aan de nieuwe privacywet

Voor grote bedrijven is het nog relatief makkelijk om mensen vrij te maken en de onderneming er klaar voor te maken om aan de nieuwe privacywet te voldoen. Maar voor mkb’ers die gegevens verwerken, zullen de lasten zwaarder zijn. Hulp wordt wel geboden. De Autoriteit Persoonsgegevens biedt een tienstappenplan voor ondernemers om AVG-proof te worden. Daarnaast is er een speciale website gemaakt www.hulpbijprivacy.nl én er kan online een regelhulp worden ingevuld. Brancheorganisaties ontwikkelen toolkits. VNO-NCW en MKB-Nederland organiseerden het afgelopen jaar met de AP voorlichtingsbijeenkomsten over de nieuwe privacywet.

En natuurlijk zijn er ook externe commerciële adviseurs en bureaus die kunnen helpen. Genoeg andere ondernemers die in dit gat van de markt springen. De kwaliteit van deze bureaus kan echter sterk verschillen. Het is zaak om goed uit te zoeken wie echt ter zake kundig is. Vraag aan collega-bedrijven om referenties.

Handig: de wekelijkse Forum-alert

Handig: de wekelijkse Forum-alert

algemene verordening gegevensbescherming (avg)autoriteit persoonsgegevensbescherming persoonsgegevensdatabeschermingdatalekkendataprotectieprivacy