Op 25 mei 2018 gaat de nieuwe Europese privacywet in, de Algemene Verordening Gegevensbescherming. In het kort: de AVG, of in het Engels, de GDPR. Alle organisaties en bedrijven, groot of klein, in de hele Europese Unie, hebben hiermee te maken. De wet geldt ook voor kleine mkb-ers en zzp-ers die persoonsgegevens verwerken, zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie. En heeft ook gevolgen voor je website en je nieuwsbrief.
De privacywet in het kort
Door de privacywet krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Voor bedrijven geldt dat er veel meer nadruk gelegd wordt op verantwoordingsplicht. Als bedrijf moet je kunnen aantonen dat je voldoet aan de wet. Vanaf 25 mei moet je duidelijk maken welke persoonsgegevens je verzamelt, waarom je die verzamelt, wat je ermee doet en hoe lang je ze bewaart. En je moet aan je klanten de gelegenheid bieden om die gegevens in te zien, te wijzigen of te verwijderen.
Aan de slag
Stap 1 – Overzicht
Breng je systeem van het verzamelen van persoonsgegevens op orde. Maak een overzicht van wat je waar bewaart. Kijk kritisch of alles nodig is. Verwijder onnodige gegevens en bepaal wat je waar opslaat. Check of je website veilig is. Als je persoonsgegevens via je website ontvangt, bijvoorbeeld via een contactformulier of in de reacties op je berichten, dan is een SSL certificaat verplicht.
Stap 2 – Vul de regelhulp in
Met de Regelhulp van de Autoriteit Persoonsgegevens (AP) krijg je in 10 stappen een beeld van waar je aan kunt werken om goed voorbereid te zijn op de nieuwe privacywet. Nadat je alle stappen hebt doorlopen krijg je een rapport met per stap de uitslag, een toelichting en praktisch advies wat je nog moet doen of regelen. Daarmee kun je aan de slag. Je kunt een pdf van het rapport downloaden en bewaren.
Stap 3 – Privacyverklaring
Met de Privacyverklaring Generator kun je zelf een privacyverklaring maken. Na het doorlopen hiervan heb je een basisdocument waarin je nog wel wat aanvullingen moet doen. Leg ook vast hoe je welk soort persoonsgegevens verwerkt, voor welke doeleinden, hoe je de persoonsgegevens beveiligt, hoe lang je ze bewaart, hoe klanten inzage kunnen hebben in deze gegevens en hoe ze het kunnen wijzigen. Maak op je website een link naar deze privacyverklaring of neem hem op in je Algemene Voorwaarden.
Stap 4 – Verwerkersovereenkomst
Waarschijnlijk worden de door jou verzamelde gegevens ook bewaard bij derden, zoals in je factuurprogramma, in je e-mail-systeem, bij je boekhouder etc. Aan deze partijen moet je een verwerkersovereenkomst vragen. Daarin staat wat zij doen met de gegevens die jij verzamelt.
Daarnaast moet je, als je zelf gegevens van derden verwerkt, een verwerkersovereenkomst aanbieden. Dit is alleen nodig als jij een service biedt waarbij klantgegevens van jouw klanten via jouw systeem gaan. Bijvoorbeeld als hoster van websites. Met de verwerkersovereenkomst regel je de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking jouw bedrijf inschakelt. Meer informatie vind je op justitia.nl en ictrecht.nl.
Stap 5 – Verwerkingsregister
Je moet een overzicht maken van deze andere partijen in een eigen verwerkingsregister, met de vermelding welke gegevens je deelt, waarom, en hoelang. In het verwerkingsregister moet onder andere staan:
- de naam en contactgegevens van jouw bedrijf en eventuele andere organisaties met wie je gezamenlijk de doelen en middelen van de verwerking hebt vastgesteld;
- de doelen waarvoor je de persoonsgegevens verwerkt;
- een beschrijving van de categorieën van personen van wie je gegevens verwerkt, bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten;
- een beschrijving van de categorieën van persoonsgegevens, zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen;
- de datum waarop je de gegevens moet wissen (als dat/deze bekend is);
- de categorieën van ontvangers aan wie je persoonsgegevens verstrekt;
- een algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen.
Een voorbeeld kun je hier vinden: Model verwerkingsregister. Meer informatie vind je op de website van autoriteit persoonsgegevens.
Boete
Het melden van overtredingen wordt eenvoudig, en opvolging daarvan zal (moet) ook gebeuren. Je riskeert een boete van maximaal 20 miljoen euro of 4% van je wereldwijde jaaromzet als je niet aan de nieuwe privacywet voldoet.
In een volgend artikel schrijf ik over hoe je zelf jouw website AVG-proof kunt maken: De privacywet en jouw website.
Meer informatie
- Autoriteit Persoonsgegevens
- Verantwoordingsplicht
- Regelhulp van de Autoriteit Persoonsgegevens (10 stapppenplan)
- Privacyverklaring Generator
- Model verwerkingsregister
- Verwerkingsovereenkomst: justitia.nl en ictrecht.nl
- Boete
- Charlotte’s Law
Disclaimer: Dit is geen geen juridisch artikel en hieraan kunnen geen rechten worden ontleend.