Als ondernemer heeft u te maken met een heel scala aan regelgeving. Deze regelgeving wordt met enige regelmaat aangepast en dan kunnen de gevolgen een behoorlijke impact hebben. De privacy wetgeving is een goed voorbeeld hiervan. Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Deze vervangt de inmiddels gedateerde oude wetgeving (de Wet bescherming persoonsgegevens). Met de inwerkingtreding van de AVG (GDPR) is er sprake van een privacywet voor heel Europa.
De AVG is een strengere variant van de oude wetgeving die meer is toegesneden op de huidige situatie. In de wet wordt bepaald hoe bedrijven en organisaties die te maken hebben met de verwerking van persoonsgegevens, hiermee om moeten gaan. Zo beperkt de regelgeving zich niet alleen tot de persoonsgegevens van klanten, maar ook van personeelsleden en andere individuen.
In de nieuwe situatie vallen veel meer activiteiten onder de privacywet. Zo gaat het niet alleen om de eenvoudige persoonsgegevens zoals NAW-gegevens, ook IP-adressen en cookies vallen onder de nieuwe wetgeving. Dit is zelfs het geval als een IP-adres niet direct gekoppeld is aan een bepaald persoon. Ook dergelijke, op het oog, niet-herleidbare data, moeten als privacygevoelig worden behandeld.
De AVG dwingt ondernemers tot meer actie en maatregelen. De nadruk van de verordening ligt op het aantonen dat je je aan de wet houdt. De verordening sluit beter aan bij de eisen van de huidige, digitale tijd.
Hoe voldoe je als bedrijf aan de nieuwe AVG privacywet?
Met het inwerking treden van de nieuwe Europese privacywetgeving, gaat er ook voor ondernemers het een en ander veranderen. Simpelweg gesproken bent u als ondernemer verantwoordelijk voor de manier waarop persoonsgegevens worden verwerkt en opgeslagen. Aan de hand van een overzichtelijk AVG 10-stappenplan laten we zien hoe u dat in uw onderneming of organisatie kunt doorvoeren.
1. Bewustwording:
De nieuwe wetgeving geldt voor de gehele onderneming. Zorg er dus voor dat elke medewerker die te maken heeft met de verwerking van persoonsgegevens, bekend is met de nieuwe privacyregels.
2. Rechten van betrokkenen:
Een gevolg van de AVG is dat mensen ook rechten hebben die voortvloeien uit de nieuwe privacywetgeving. U dient dus rekening te houden met de mogelijkheid dat men de eigen persoonlijke gegevens wenst in te zien. Ook het recht op correctie en verwijdering is vastgelegd in de AVG.
3. Overzicht verwerkingen:
Een van de belangrijkste regels vanuit de AVG is dat het duidelijk moet zijn welke persoonsgegevens worden gebruikt, waarom ze worden gebruikt, hoe de verkregen data wordt opgeslagen en wie er toegang hebben tot de gegevens.
4. Data protection impact assesment (DPIA):
Een data protection impact assesment is essentieel voor elke organisatie of onderneming. Het is van groot belang om dit serieus te nemen en de risico’s van de gegevensverwerking vooraf in kaart te hebben gebracht.
5. Privacy by design en privacy by default:
De bescherming van privacygevoelige informatie zal een steeds prominentere rol krijgen. Bij de ontwikkeling van nieuwe diensten of producten is het daarom van belang hier oog voor te hebben. De stelregel zou moeten zijn dat enkel die gegevens worden verwerkt die noodzakelijk zijn voor dat specifieke doel.
6. Functionaris gegevensbescherming:
Voor ondernemingen en instellingen die zich bezighouden met de grootschalige verwerking van persoonsgegevens, geldt vanuit de AVG de verplichting om een functionaris gegevensbescherming aan te stellen.
7. Meldplicht datalekken:
De AVG kent een aantal verplichtingen op het gebied van dataverwerking. Zo bent u als ondernemer verplicht melding te maken van een datalek indien daar sprake van is. Naast de meldplicht is er ook een documentatieplicht ten aanzien van alle geconstateerde datalekken. Om goed voorbereid te zijn is het raadzaam om alle procedures binnen uw organisatie of onderneming te herijken.
8. Bewerkersovereenkomsten:
Als u de verwerking van persoonsgegevens heeft uitbesteed aan een derde partij, is het noodzakelijk om hiervoor een geldige verwerkersovereenkomst te sluiten. Logischerwijs dienen alle bestaande overeenkomsten te voldoen aan de vereisten vanuit de AVG.
9. Leidende toezichthouder bepalen:
Indien u in meerdere landen binnen de EU actief bent, hoeft u slechts zaken te doen met één privacy toezichthouder. Dit heet dan de leidende toezichthouder. Dit kan bijvoorbeeld de Autoriteit Persoonsgegevens zijn.
10. Toestemming:
De AVG stelt strenge eisen aan de verwerking van persoonsgegevens. Dit geldt bijvoorbeeld ook voor de manier waarop mensen toestemming geven voor de verwerking van de gegevens. Als ondernemer moet u kunnen aantonen dat de verkregen toestemming geldig is. Het heeft dan met name betrekking op de manier waarop die toestemming is gevraagd, verkregen en is geregistreert.
Hulp nodig met het behalen van een AVG certificaat voor uw bedrijf?
Bron KVK
