AVG Cinemeta

We worden allemaal als ondernemers al weken doodgegooid met allerlei e-mails over privacy en de Algemene Verordening Gegevensbescherming – AVG (in het Engels GDPR).
De een met nog dreigender taal dan de ander als je niet voor 25 mei AVG “proof” bent. 20 miljoen euro boete of toch zeker 4x de jaaromzet.

Laat ik duidelijk zijn. Ik heb geen juridische achtergrond en dit artikel is dus ook niet als juridisch advies geschreven.

Nu is het zo dat de wet bescherming persoonsgegevens al langer bestond en AVG is de aangescherpte versie. Ook het melden van een datalek is al verplicht sinds 2016.
Wat AVG precies inhoudt kun je terug vinden op verschillende websites zoals:

Kamer van Koophandel

AVG voor MKB

Autoriteit persoonsgegevens

Als je als zoek opdracht “avg checklist” intoetst bij Google, krijg je 517.000 zoekresultaten. De kans dat daar een checklist voor jou bij zit is bijna 100%.

 

Hoofdpunten

Je kunt de AVG verdelen in een aantal hoofdpunten

  1. Juridisch: je bent verplicht om zaken juridisch vast te leggen. Van geheimhoudingsverklaringen en een officiële privacy policy op je website, tot aan (verwerkings)contracten met je drukkerij en IT-partner.
  2. ICT: zijn software- en virusscanners altijd up-to-date? Zijn er (veilige) back-ups om de persoonsgegevens te beschermen tegen verlies of ransomware? En is jouw cloud-oplossing wel Europees? Dit en meer moet je nagaan en goed regelen!
  3. Organisatie-procedures: ook intern moet er van alles vastgelegd zijn. Heb je een procedure omtrent de gegevens van ex-medewerkers of leden? Ligt er vast wie waar toegang toe heeft? En weet je wat moet doen als er een usb-stick met persoonsgegevens kwijt is?
  4. Opleiding: alle medewerkers moeten geïnformeerd c.q. opgeleid worden omtrent de wetgeving. Wat mogen zij wel en wat niet? Maar bovenal ook: wie wordt hier verantwoordelijk voor en zorgt dat het ook bij nieuwe medewerkers gewaarborgd wordt.

 

Ook voor de ZZP’er

Zelfs voor een ZZP’er gelden deze punten maar de rollen van medewerkers, opleiding en procedures zijn dan natuurlijk makkelijker in te vullen.

 

Maar is het inderdaad zo dat je die hoge boetes kunt krijgen?


De toezichthouder (in Nederland: de Autoriteit Persoonsgegevens (AP)) mag uit eigen beweging optreden tegen de verwerkingsverantwoordelijke van persoonsgegevens die de regels uit de AVG overtreedt.

AVG Cinemeta

De verwerkingsverantwoordelijke ben jij als ondernemer. Want dat is de partij die het doel en de middelen van de verwerking van de persoonsgegevens bepaalt, bijvoorbeeld een bedrijf dat bepaalt dat de naam- en contactgegevens van het personeel en de klanten geregistreerd moeten worden.

Als je een factuur stuurt moet je al de gegevens ergens opslaan. Dus verwerkingsverantwoordelijke ben je als ondernemer eigenlijk altijd. Maar het geldt ook voor iemand of een bedrijf aan wie je persoonsgegevens doorgeeft. Bijvoorbeeld een externe salarisadministrateur of een ICT-dienstverlener die een online CRM-systeem levert en beheert om de klantgegevens in op te slaan en bij te werken. Of een e-mail programma voor e-mail marketing (zoals je die van ons ook periodiek krijgt.

Van de Autoriteit Persoonsgegevens kun je dus een boete krijgen. Maar dat doen ze niet in één keer. Ik heb me laten vertellen dat het een escalatie traject is met 5 stappen. Waarbij begonnen wordt met de melding aan jouw bedrijf dat je niet aan de AVG wet voldoet. De tweede stap is dat je te horen krijgt wat er aan schort. Pas als laatste stap worden de boetes ingezet. De kans op een controle van de Autoriteit Persoonsgegevens is relatief klein maar als zij een klacht krijgen, zijn ze verplicht te controleren.

Maar er is een andere manier om tot een geldbedrag veroordeeld te worden.
Als je een datalek hebt gehad en je hebt dat niet tijdig doorgegeven aan de juiste instantie, is er een mogelijkheid dat je kan worden aangeklaagd door iemand waarvan de gegevens op straat zijn komen te liggen.

Een flauw maar concreet voorbeeld is het verliezen van je telefoon. Zorg dat de toegang tot je telefoon beveiligd is (cijfercode of wachtwoord) en dat je op afstand je telefoon kunt wissen.
Dan houdt je de schade beperkt. Want op je telefoon staan meestal minimaal al naam, telefoonnummer en e-mail adres. Dus privacy gevoelige gegevens. Zorg ook dat je het datalek meldt binnen de gestelde tijd.

 

Wat moet je nu doen?

Om te beginnen moet je weten wat voor jouw bedrijf noodzakelijk is.
Zorg er dus voor dat jouw website een privacy verklaring of privacy statement heeft. Je kunt meerdere voorbeelden terug vinden op het internet. Zorg dat je kunt uitvoeren wat je opschrijft en dat je dat bijvoorbeeld volgend jaar ook nog weet.

Zorg dat je ICT op orde is. Zet alles minimaal achter een wachtwoord. Beter is dat je data, back-ups, enzovoort ook versleuteld (encrypted) opslaat.

Zorg voor verwerkingsovereenkomsten met bedrijven waarmee je samenwerkt. Dus voor de salaris administrateur tot de leverancier van je online software. Je website provider tot contracten met geheimhoudingsclausule voor mensen die je inhuurt. Van Google (voor google analytics) tot je boekhoudprogramma (mits die online staat).

Mocht er een probleem voordoen wordt de wet gehandhaafd zoals alle wetten in Nederland. Je moet in de geest van de wet handelen. Zorg dus dat je bekent bent met AVG voor jouw organisatie en dat je wel actie onderneemt. Dan hoef je geen boetes of andere problemen te verwachten.