AVG. Persoonsgegevens. Privacyverklaringen. Datalekprotocollen. Verwerkingsregisters. Beveiligingsmaatregelen. Verwerkersovereenkomsten. Het klinkt je vast allemaal bekend. Maar dat wil niet zeggen dat je weet waar je moet beginnen om je onderneming AVG-proof te maken.
Wat moet je doen om straks al die benodigde documenten klaar te hebben staan? Wat moet je doen om je onderneming zo goed mogelijk voor te bereiden op de AVG. We hebben een stappenplan samengesteld om je alvast een eindje* op weg te helpen.
* Het is helaas niet die kant en klare AVG-template geworden die ik voor ogen had. Geen ‘invulformulier’ dat het je makkelijk maakt om snel klaar te zijn voor de AVG. De AVG-materie is vrij complex is en de uiteindelijke invulling van de details erg afhankelijk van jouw situatie. Het is daarom een ‘algemeen’ stappenplan, maar wel eentje dat je houvast biedt. Mocht je er zelf niet uitkomen (en dat kan ik me goed voorstellen), zoek dan hulp van een jurist, een branchevereniging of een organisatie die je verder kan adviseren over de AVG en de gevolgen voor jouw onderneming.
Loop daarom heel zorgvuldig alle processen in je onderneming door en stel een duidelijk overzicht samen van alle persoonsgegevens die je verzamelt. Je hebt namen, mailadressen en misschien zelfs telefoonnummers van klanten, samenwerkingspartners en mensen die geïnteresseerd zijn in jouw diensten of producten. Je verstuurt facturen aan postadressen, met bijvoorbeeld BTW- of andere identificatienummers. Voert misschien een loonadminstratie of stuurt een CV van een nieuwe medewerker door. Je analyseert het verkeer en het zoekgedrag van de bezoekers van je site. Je registreert misschien ergens inloggegevens van je teamleden. Of houdt het koopgedrag van klanten in de gaten om ze persoonlijke aanbiedingen te doen. Kortom, maak een schema waarin je alle persoonsgegevens en alle mogelijke manieren waarop je ze binnen je bedrijf verzamelt, opneemt.
- Met welk doel verzamel en verwerk je persoonsgegevens? Dat kan zijn om mensen op de hoogte te houden van ontwikkelingen binnen je bedrijf, om een factuur te versturen, om een product of dienst te leveren of om je medewerkers loon uit te betalen.
- Van wie en op welke manier krijg je de gegevens en weet degene die de gegevens verstrekt waarom je de gegevens verzamelt? Je krijgt bijvoorbeeld gegevens omdat iemand zijn naam en adres achterlaat via een contactformulier op je site. Die persoon weet dat je zijn gegevens gebruikt om een bericht terug te sturen.
- Kun je een grondslag uit de AVG noemen voor de verwerking? Denk na over de grondslag die je gebruikt om gegevens van mensen te verzamelen en te verwerken.
- Gebruik je de gegevens die je krijgt ook nog voor andere doelen? Je stuurt de persoon die het contactformulier invult, misschien ook automatisch een nieuwsbrief. Onder de AVG is dat niet meer toegestaan. Beslis voor jezelf of je deze gegevens echt nodig hebt. Als het antwoord ‘ja’ is, beschrijf dan een andere manier om aan deze gegevens te komen, die wel mag volgens de AVG.
- Hoe lang bewaar je deze gegevens en waarom? Een factuur met daarop allerlei persoonsgegevens moet je 7 jaar bewaren voor de Belastingdienst. Maar hoe lang bewaar je een adres voor een nieuwbrief of de gegevens van een cursist die mee doet aan jouw workshop? Die termijnen hoeven geen afgebakende, concrete tijdssperiodes te zijn. ‘Totdat de ontvanger zich uitschrijft’ of ‘Tot 3 weken na afloop van de cursus’ mag, zolang je er maar een goede reden voor kunt geven. Dit is ook meteen een goed moment om te beslissen of je de betreffende persoonsgegevens die je hebt gevonden, ook inderdaad nog nodig hebt. Een overzicht met gegevens van deelnemers aan een workshop die je ooit gaf, maar verder niet gebruikt, kun je gerust wegdoen.
- Wie krijgt de persoonsgegevens ook onder ogen of wie kan erbij? Kan alleen jij bij de gegevens of heb je medewerkers en/of samenwerkingspartners die de gegevens ook onder ogen krijgen? Geef je de gegevens door aan andere, derde partijen zoals bijvoorbeeld een hosting provider, een aanbieder van een boekhoudsysteem of een service om bestanden ‘in the cloud’ op te slaan? Zo ja, waarom en waar zijn deze organisaties gevestigd?
Als je al deze antwoorden per verwerkingsactie beantwoordt, heb je de basis voor je verwerkingsregister klaar! Je kunt zo op verzoek aantonen welke persoongegevens je verwerkt, met welk doel, waar je deze gegevens verzamelt en bewaart en met wie je ze gedeeld hebt.
Mocht iemand erom vragen, dan moet het makkelijk voor je zijn snel op zo’n verzoek te kunnen reageren. Zorg dat je iemand zonder veel moeite inzage kunt geven in de gegevens die je van hem of haar hebt. Mocht iemand je vragen de gegevens te corrigeren of te verwijderen, dan moet je dit ook doorgeven aan de andere partijen waarmee je hun gegevens hebt gedeeld. En je moet ervoor zorgen dat mensen hun gegevens makkelijk kunnen krijgen als zij die door willen geven aan een andere organisatie. Het verwerkingsregister is dan een handige leidraad.
Een DPIA is alleen verplicht als het verwerken van de persoonsgegevens een hoog privacyrisico kan betekenen voor de mensen van wie de gegevens zijn. Dat is in ieder geval zo als je:
- systematisch en uitvoerig persoonlijke aspecten beoordeelt, zoals profiling
- op grote schaal bijzondere persoonsgegevens verwerkt
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)
Met een Data Protection Impact Assessment, oftewel een gegevensbeschermingseffectbeoordeling, kun je vooraf de privacyrisico’s van een gegevensverwerking in kaart brengen. En vervolgens maatregelen nemen om de risico’s te verkleinen als dat nodig is.
Denk je dat jij verplicht bent een DPIA uit te laten voeren? Lees dan op de site van de Autoriteit Persoonsgevens meer over deze controle.
Natuurlijk kan het ondanks al je maatregelen een keertje misgaan. Registreer dit datalek dan zelf in je datalekkenprotocol en meld het eventueel bij de Autoriteit Persoonsgegevens. In dit protocol beschrijf je ook een stappenplan dat je doorloopt op het moment dat je te maken krijgt met een datalek.
Als je op grote schaal persoonsgevens analyseert of bijzondere persoonsgegevens als godsdienst, seksualiteit, gezondheid of ras verwerkt, benoem je eventueel een Data Protection Officer, oftewel een Functionaris Gegevensbescherming. Deze functionaris houdt toezicht op de manier waarop je omgaat met de persoonsgevens. Dat kan een medewerker zijn, maar je kan er ook een externe deskundige voor inschakelen.
Privacy by default betekent dat de standaardinstellingen van je diensten of invulformulieren de privacy zoveel mogelijk garanderen. Gebruik opt-in of double-opt in formulieren voor inschrijvingen. Je verwijst in die formulieren naar je privacy statement met een link. Mensen die zich inschrijven voor bijvoorbeeld je mailing, moeten expliciet toestemming geven voor het gebruik van hun gegevens. Dat doen ze door een actieve handeling te verrichten zoals het aanklikken van een checkbox en/of het bevestigen van een inschrijving via een link die je ze stuurt. In elke mailing die je ze daarna stuurt, moet het makkelijk zijn om zich weer uit te schrijven en om de gegevens die jij van ze hebt, te kunnen bekijken of wijzigen. Vaak heeft je mailprvider al gezorgd voor deze mogelijkheid en verschijnt de link om dat te kunnen doen automatisch onder de nieuwsbrief die je opmaakt.
Verder heeft de toestemming die iemand geeft, alleen betrekking op de informatie die hij of zij aanvraagt. Als iemand contact met je opneemt via jouw contactformulier, mag je hen niet automatisch op de mailinglijst voor je nieuwsbrieven zetten. Je mag hen wel voorstellen zich ook in te schrijven voor je nieuwsbrief. Ook daar moeten zij expliciete toestemming voor geven door de checkbox bij die optie aan te klikken. Standaard aangevinkte vakjes mogen echt niet meer onder de AVG!
1 reactie