25 mei is het zo ver en is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Wat er gedaan moet worden is voor velen echter nog niet duidelijk. Het is belangrijk om te weten dat u in elk geval ’iets’ moet ondernemen, voordat de nieuwe regels van kracht zijn.
Zo zal u in elk geval een overzicht moeten opstellen van uw gegevensregisters, en moet u een privacy policy formuleren. Daarnaast is het mogelijk dat u een verwerkersovereenkomst moet opstellen. Dit is het geval als u persoonsgegevens uitwisselt met derden. Dit zal het geval zijn als u gebruik maakt van bijvoorbeeld clouddiensten of een salarisadministrateur.
Welke gegevens moeten AVG Proof zijn?
In principe valt alle informatie dat herleidbaar is tot een persoon, onder de AVG. Daarnaast wordt er onderscheid gemaakt tussen ‘gewone’ persoonsgegevens en ‘bijzondere’ persoonsgegevens. Voor bijzondere persoonsgegevens gelden strengere regels. Het gaat dan om informatie over:
- De etnische afkomst,
- Politieke opvattingen of voorkeur
- Gegevens over de gezondheid
- Gegevens over seksuele geaardheid
- Kopie ID gegevens
- BSN nummer
Met name de laatste 2 kunnen voorkomen in uw administratie. Dit is bijvoorbeeld het geval als u personeel in dienst heeft.
Let op: de drempel van een bijzonder persoonsgegeven kan laag zijn! Als u bijvoorbeeld een bijeenkomst houdt en mensen kunnen aangeven dat ze in een rolstoel zitten, zegt dat iets over iemand zijn gezondheid. Er is dan sprake van een bijzonder persoonsgegeven. Advies is om dergelijke gegevens niet in uw administratie te bewaren.
Je mag bijzondere gegevens enkel bewaren als daar een geldige grondslag voor is. De meest voorkomende grondslagen zijn:
- U heeft uitdrukkelijk toestemming gekregen van de betrokkene
- Verwerking is noodzakelijk voor de uitvoering van rechten en plichten op gebied van arbeidsrecht (hierbij valt te denken aan uw loonadministratie)
- De betrokkene heeft die persoonsgegevens zelf (al) openbaar gemaakt
Er zijn meer redenen om bijzondere gegevens op te mogen slaan. Daarnaast kan het uitvoeren van uw opdracht, een grondslag zijn om gegevens van uw klant te bewaren. Let er dan wel op dat u expliciet om toestemming vraagt, om die bijzondere gegevens te mogen bewaren.
Actiepunt 1: Ga na welke gegevens u nu in uw registers bewaard. Hierbij kunt u denken aan gegevens in uw (financiële) administratiepakket, fysieke dossiers en/of de interne mappenstructuur. Breng vervolgens in kaart op basis van welke grondslag u die gegevens bewaard, wat u met die persoonsgegevens doet, en welke bewaartermijn u hanteert.
Het opstellen van een Privacy policy
Om aan de wet te voldoen moet u een privacy policy (privacy beleid) hebben. Dit is een document waarin u verklaard dat u voldoet aan de AVG, waarom u informatie verzamelt, en welke reden daar aan ter grondslag ligt.
Op het internet zijn verschillende modellen beschikbaar voor het formuleren van een Privacy Policy. Als u gebruik maakt van een dergelijk model, zal u al snel inzien dat u nu al voldoet aan de meeste voorwaarden van de AVG. Tevens raakt u ook bewust van de eisen die de AVG voor bedrijven stelt.
Actiepunt 2: Bekijk enkele Privacy Policies en stel vervolgens uw eigen beleid op.
Stel deze beschikbaar voor betrokkenen van uw organisatie, via bijvoorbeeld uw website.
Wel of geen verwerkingsovereenkomst?
Mogelijk moet u naast een Privacy policy ook een verwerkersovereenkomst opstellen. Dit is het geval als u persoonsgegevens uitwisselt met derden. U sluit dan een overeenkomst met de partij die persoonsgegevens voor u verwerkt.
Wat betreft verwerkers kunt u denken aan een online administratiepakket, uw salarisverwerker, belastingadviseur of bijvoorbeeld uw cloud beheerder. Beide partijen zijn verantwoordelijk voor het opstellen van een dergelijke overeenkomst. In de praktijk komt het vaak voor dat de grote marktpartijen u een overeenkomst aanbieden.
Momenteel bestaat er nog onduidelijkheid onder specialisten wanneer een dergelijke overeenkomst nodig zou zijn, en in welke situaties er sprake is van een verwerker.
Het evalueren van uw huidige beveiliging
Al naar gelang de omvang van uw onderneming, en de gegevens die u in uw registers bezit, dient u een adequate beveiliging te hebben. Hoe ver u hier in moet gaan, moet nog uitgekristalliseerd worden in komende juris prudentie.
U moet er minstens voor zorgen dat mensen die geen bevoegdheid (meer) hebben tot persoonsgegevens, die ook niet kunnen benaderen. Maak daarom in ieder geval gebruik van wachtwoorden, en wijzig deze ook periodiek.
Al naar gelang de informatie vertrouwelijk van aard is, kunt u sterkere maatregelen nemen. U kunt daarbij denken aan technische maatregelen zoals het gebruik maken van een 2 staps verificatie (wachtwoord + sms) en/of het dubbel beveiligen van vertrouwelijke documenten met een aanvullend wachtwoord op het document. Daarnaast kunt u ook organisatorische maatregelen nemen zoals enkel bepaalde medewerkers toegang geven tot gegevens.
Draag ook zorg voor beveiliging op andere apparaten!
Naast de zakelijke computers moet u ook denken aan mobiele telefoons, laptops, tablets en andere apparaten die toegang verschaffen tot uw gegevens. Voor een mobiel valt te adviseren om gebruik te maken van een pincode en/of vingerafdruk beveiliging. Een swipe wachtwoord kan immers makkelijker worden gekraakt dan een pincode.
Naast beveiliging middels wachtwoorden, dient u ook zorg te dragen dat alle ICT software, up-to-date is. Daarbij moet u denken aan firewalls, antivirussoftware en updates van Windows/Apple.
Het beveiligen van fysieke dossiers
Papieren die in fysieke staat aanwezig zijn binnen de organisatie, en waar persoonsgegeven op staan, dienen opgeslagen te worden in een kast die op slot kan.
Geen gegevens opslaan buiten de EU
De AVG stelt dat gegevens opgeslagen dienen te worden binnen de EU. Maakt u gebruik van bijvoorbeeld Dropbox (Amerikaanse servers), dan loopt u mogelijk risico dat er niet wordt voldaan aan de AVG. Geadviseerd wordt dan ook om te kijken of er alternatieve mogelijkheden zijn om uw gegevens te bewaren binnen de EU. Hierbij kunt u denken aan een cloud oplossing, of een goed beveiligd lokaal netwerk.
Het maken van backups
Om persoonsgegevens te beschermen tegen verlies of diefstal, dient u een back up te maken. Daarnaast dient u te zorgen voor een goede bescherming van die gegevens. Bewaart u een backup op een externe hardeschijf of een lokale server? Dan is het te adviseren om die gegevens te bewaren in een kluis en/of een brandveilige kast. Ook valt het te adviseren om dergelijke gegevens op een andere locatie te bewaren.
Direct Marketing en het benaderen van prospects
Ontplooit u direct marketing om klanten te benaderen? Als dit digitaal gebeurd (email), heeft u toestemming nodig om de prospect op die manier te benaderen. Als u telefonisch contact legt, heeft u geen overeenkomst nodig.
Het melden van een Data lek
Er is sprake van een data lek als er persoonsgegevens zijn verloren. Dit is bijvoorbeeld het geval als persoonsgegevens op een USB of laptop verloren gaan door diefstal of een brand.
De personen die ingelicht moeten worden, kunnen de personen zijn waarvan gegevens zijn gelekt en/of de AFM. Het achterwege laten van het melden van een data lek, kan bestraft worden met een boete. Wanneer u melding moet doen, hangt af van de situatie. Als er een risico bestaat dat datalek schade toebrengt voor de betrokkene, zal u in de meeste gevallen een meldplicht hebben.
Als er meerdere USB’s of laptops in uw organisatie gebruikt, kan het verstandig zijn om deze te inventariseren en als proceduremaatregel de apparaten nummeren. Zo houdt u een overzicht van de apparaten binnen uw organisatie waar persoonsgegevens op staan.
Tot slot
Er zijn meerdere aanbieders op de markt voor het AVG ‘proof’ maken van uw organisatie. Wij hebben gebruik gemaakt van het AVG programma van Stichting AVG. Zorg er in ieder geval voor dat u uw dataregisters inzichtelijk heeft gemaakt, de beveiliging hebt beoordeeld én dat er een privacy policy is opgesteld. Als u die stappen heeft gezet, voldoet uw organisatie (waarschijnlijk) grotendeels al aan de wet.
Qua handhaving hoeft u niet al te veel risico verwachten. De Autoriteit Persoonsgegevens heeft al aangegeven dat zij niet voldoende budget heeft om adequaat toezicht te houden op naleving van de AVG. Daarnaast moet u begrijpen dat de AVG met name is ontworpen om omvangrijke datalekken te voorkomen. De grote bedrijven zullen in die zin in elk geval hun zaken op orde moeten hebben. De kleinere bedrijven zullen in mindere mate het ‘doelwit’ zijn. Met dit gezegd te hebben, raden wij u uiteraard wel aan om te voldoen aan uw wettelijke verplichtingen, en vooral te zorgen voor een adequate beveiliging. Daarnaast kan het verstandig zijn om de genomen maatregelen te laten toetsen door een deskundige.
Hoewel dit artikel met de grootste zorg is samengesteld, kunt u hier geen rechten aan ontlenen.