Veel organisaties zijn nog niet klaar voor de nieuwe privacywet die ingaat op 25 mei a.s. Om tijdig te voldoen aan de nieuwe privacywet (de AVG) is er nog veel werk aan de winkel. Word je al zenuwachtig? Nog geen idee waar te beginnen? Of denk je nog steeds dat het wel los zal lopen en dat die hele AVG niet op jou van toepassing is?
Dan moet ik je helaas uit de droom helpen. Alle organisaties die op structurele wijze persoonsgegevens verwerken (opslaan, gebruiken, verwijderen, etc.), moeten aan de bak. En dat is dus bijna iedereen. Als je een klantenbestand hebt en personeel, dan moet ook jouw organisatie privacy proof worden. Ook als je een freelancer bent en je hebt een bestand van opdrachtgevers en potentiële opdrachtgevers waar je regelmatig mee mailt en nieuwsbrieven stuurt dan is het verstandig om met de nieuwe wet aan de slag te gaan.
Zie het ook als positief. Als je transparant en duidelijk kunt aangeven dat je aan de AVG voldoet, en hoe serieus je de goede bescherming en beveiliging van persoonsgegevens neemt, zal dat in je voordeel werken.
Wat moet je doen?
- Een verwerkingsregister optuigen.
- Het privacy statement op je website aanpassen.
- Verwerkersovereenkomsten sluiten.
- Bewaartermijnen vastleggen.
- Dossiers en outlook opschonen van persoonsgegevens die niet langer bewaard mogen worden.
- Medewerkers informeren over de aanpassingen van het intern privacy beleid.
- Privacy Impact Assessments (PIA’s) uitvoeren.
- Procedures vastleggen.
- Een privacy officer of, wanneer nodig, een Functionaris Gegevensbescherming aanstellen.
- Enz. Enz.
Als je nu nog moet beginnen, concentreer je dan op het verwerkingsregister en je privacy statement. Daarna pak je de andere zaken op. Het verwerkingsregister kun je zelf maken in Excel. Er zijn veel voorbeelden op het internet te vinden. Check eerst de website van de autoriteit persoonsgegevens over wat er in moet komen te staan:
Een eenvoudig basis privacy statement kun je maken met DEZE TOOL. Deze tool is speciaal voor het MKB ontwikkeld.
Onderdeel van het verwerkingsregister is informatie over de partijen die van jou persoonsgegevens ontvangen. Als dat partijen zijn die in jouw opdracht persoonsgegevens verwerken, moet je daarmee een verwerkersovereenkomst sluiten. De AVG geeft duidelijk aan welke afspraken je moet maken met een verwerker. Dit is verplicht, dus check altijd goed of zo’n overeenkomst klopt. Ik heb al hele goede maar ook hele slechte voorbij zien komen. Voorbeelden van verwerkers waar zo’n overeenkomst mee gesloten moet worden:
- Jouw IT bedrijf die toegang heeft tot alle persoonsgegevens, de webbouwer die ook je website met persoonsgegevens beheert, de partij die jouw klantdata heeft om nieuwsbrieven aan te sturen, de salarisadministratie, de hosting provider, de leverancier en beheerder van je CRM systeem.
En bepaal ook hoe lang je persoonsgegevens bewaart. Dat mag niet langer dan noodzakelijk zijn. Hoe lang dat is bepaal je zelf, maar moet wel goed beargumenteerd worden. De wet geeft ook een aantal bewaartermijnen waar je je aan moet houden, bijvoorbeeld voor de salarisadministratie.
Veel succes de laatste dagen voor 25 mei!
