De nieuwe privacyregels van de AVG; u moet er echt iets mee!
Iedere organisatie die persoonsgegevens opslaat, krijgt te maken met de nieuwe privacyregels van de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei a.s. in werking treden. Dit betekent dat u veranderingen moet doorvoeren in de wijze waarop u en uw medewerkers deze gegevens be- en verwerken, bewaren, beveiligen en gebruiken. Doet u dat niet, dan kan de Autoriteit Persoonsgegevens (AP) u forse boetes opleggen. Zorg dus dat u tijdig AVG-proof bent. Hierna leest u wat u ten minste moet doen en hoe u dit aanpakt.
Verwerkingsregister U moet een verwerkingsregister hebben dat u steeds up to date moet houden. Hierin geeft u aan welke soort gegevens u in uw bedrijf verzamelt en waarom u die gegevens verzamelt. Die doelen moeten stroken met wat de nieuwe privacyregels hiervoor toestaan. Zo mag u gegevens verzamelen om een overeenkomst of een wettelijke plicht te kunnen uitvoeren, maar ook als u daarbij een gerechtvaardigd belang heeft of in het geval u daarvoor toestemming heeft van de betrokkenen. U moet zich wel altijd afvragen of het echt nodig is om een gegeven te verzamelen. Voor het verzamelen van bijzondere persoonsgegevens, zoals medische gegevens, gelden andere regels.
Gegevensbeschermingsbeleid U moet een beleid maken en vastleggen over de wijze waarop u persoonsgegevens beschermt, zodat u dit kunt aantonen als de AP daarnaar vraagt. In dit document staat hoe u organisatorisch en qua ICT omgaat met gegevens, waar nodig op onderdelen aangevuld met specifieke procedures.
Informeren betrokkenen U zult de personen van wie u gegevens verzamelt, hierover moeten informeren. Dit kunnen uw klanten zijn, maar ook uw leveranciers en dienstverleners of uw werknemers worden geïnformeerd. U kunt hen informeren met een privacyverklaring of via een schriftelijk vastgelegd protocol. U kunt uw personeel ook informeren via een protocol in de arbeidsovereenkomst of het arbeidsreglement.
Verwerkersovereenkomst Sommige zaken besteedt u uit. U laat bijvoorbeeld de salarisadministratie van uw personeel door een salarisadministrateur verzorgen. Deze verwerker krijgt dan toegang tot de persoonsgegevens die u verzamelt. Of andersom, werkzaamheden worden aan u uitbesteed. U bent dan de verwerker. In beide gevallen moet u met elkaar afspraken maken over wie wat en wanneer doet en wat hij/zij wel en niet mag doen met de persoonsgegevens. U legt de afspraken vast in een verwerkingsovereenkomst. De verwerker maakt deze overeenkomst meestal in concept op. Bent u niet de verwerker, dan moet u goed nagaan of de voorgestelde afspraken stroken met de eisen van de nieuwe privacyregels.
Protocol melding datalekken Tot slot noemen we het protocol voor het melden van een datalek. Uw medewerker verliest bijvoorbeeld een usb-stick, waarop persoonsgegevens van uw klanten staan. In het protocol ligt dan de procedure vast die uw medewerkers moeten volgen voor het melden van de datalek.
De aanpak Er zijn veel zaken die u moet regelen, maar waar moet u beginnen? Het is verstandig om eerst een nulmeting te doen. U inventariseert dan eerst welke gegevens en van wie u nu verzamelt en waarom u die verzamelt. Als u dit in kaart heeft, legt u dit naast de eisen die de nieuwe privacyregels stellen aan het verzamelen, bewaren, be- en verwerken, beveiligen en gebruiken van deze gegevens. Zo krijgt u een beeld van waar u aanpassingen moet doorvoeren of nog maatregelen moet treffen.
Meer informatie Hiervoor hebben we kort aangegeven wat u in elk geval moet doen om tijdig AVG-proof te zijn. Ons kantoor beschikt over voorbeeld documenten, wilt u hierover meer informatie of wilt u een uitgebreidere uitleg neem dan contact op met ons kantoor.