Voorkom een boete, bescherm de privacy van je klanten
Net gewend aan de Wet bescherming persoonsgegevens (Wbp)? Vanaf 25 mei 2018 krijg je te maken met de grote Europese broer: de Algemene Verordening Gegevensbescherming (AVG). Leef je die niet na? Dan kun je een torenhoge boete verwachten. Bereid je nu al voor.
Waarin verschilt de AVG van de Wbp? In de nieuwe Europese wet worden de gegevens van je klanten nog beter beschermd. De nadruk komt nog sterker te liggen op de verantwoordelijkheid van de bedrijven. Je moet te allen tijde kunnen aantonen dat je de data veilig hebt opgeslagen. Houd je je niet aan de regels? Dan kun je een flinke boete verwachten: maximaal 20 miljoen euro of 4 procent van je wereldwijde omzet.
Voorbereid in tien stappen
Het is belangrijk om nu al maatregelen te nemen om klaar te zijn voor de AVG. Volg deze tien stappen en voorkom een hoge boete.
1 Bewustwording
De eerste stap is het bewust maken van het personeel dat met de nieuwe wet te maken krijgt. Zij kunnen een goede inschatting maken van de tijd en goederen die nodig zijn.
2 Rechten van betrokkenen
Klanten krijgen in de nieuwe wet steeds meer rechten. Denk hierbij niet alleen aan het recht op inzage en verwijdering, maar ook aan bijvoorbeeld het recht op dataportabiliteit. Hierbij kunnen klanten hun gegevens makkelijk opvragen om deze door te geven aan andere organisaties. Het recht op verwijdering wordt ook uitgebreider dan dat het nu is. Als een klant vraagt om verwijdering, moet je hier in de meeste gevallen binnen een maand gehoor aan geven.
3 Overzicht verwerkingen
Maak een overzicht van al je verwerkte persoonsgegevens. Noteer waar je de data vandaan hebt, met welk doel je ze hebt opgeslagen en met wie je ze deelt. Zorg dat je ook vermeldt op basis van welke wettelijke grondslag je deze gegevens verwerkt.
4 Privacy Impact Assessment (PIA)
Bij invoering van de AVG word je ook verplicht om een Privacy Impact Assessment (PIA) uit te voeren als je data verwerkt met een hoog privacyrisico. De PIA is een instrument waarmee je vooraf kunt bepalen wat risico’s zijn die horen bij het verwerken van bepaalde persoonsgegevens.
5 Privacy by design & privacy by default
Deze twee principes staan centraal binnen de AVG. Privacy by design houdt in dat je bij het ontwerpen van producten en diensten al zorgt dat de privacy van klanten gewaarborgd wordt. Privacy by default wil zeggen dat je technische en organisatorische maatregelen moet nemen waardoor je standaard uitsluitend de strikt noodzakelijke gegevens verzamelt voor het specifieke doel.
6 Functionaris voor de gegevensbescherming
Als je bedrijf op grote schaal persoonsgegevens verwerkt en dit je kernactiviteit is, ben je verplicht een functionaris voor de gegevensbescherming aan te stellen. Ook overheidsinstanties en publieke organisaties moeten zo’n functionaris hebben.
7 Meldplicht datalekken?
De meldplicht datalekken is niet nieuw. Bij de AVG is het echter de bedoeling dat je alle datalekken vastlegt op een manier waarop de Authoriteit Persoonsgegevens precies kan zien of je genoeg hebt gedaan aan het beschermen van de gegevens.
8 Bewerkersovereenkomsten
Heb jij een overeenkomst met een bewerker (verwerker in de AVG)? Controleer dan goed of de maatregelen die jullie zijn overeengekomen om de privacy te waarborgen genoeg zijn voor de AVG.
9 Leidende toezichthouder?
Ben je internationaal actief? Als je in meerdere landen in de EU gevestigd bent, val je maar onder een toezichthouder. Bepaal tijdig onder welke je valt.
10 Toestemming
De AVG legt strengere regels op omtrent de manier waarop je toestemming vraagt, krijgt en registreert. Je klanten moeten een geldige toestemming geven en deze eenvoudig weer kunnen intrekken. Controleer je formulieren goed en pas ze zonodig aan.
Let op: Vanaf 25 mei 2018 heb je documentatieplicht. Dit wil zeggen dat je moet kunnen aantonen dat je technische en organisatorische maatregelen hebt genomen om aan de AVG te voldoen.
Bron: MKB Servicedesk