Het midden- en kleinbedrijf lijkt niet goed voorbereid op de nieuwe strengere privacywetgeving. Dit geldt vooral voor kleine bedrijven. Vanaf 25 mei gelden strengere privacyregels, maar de helft van de bedrijven weet niet dat ze binnenkort de persoonsgegevens van klanten nog beter moet beschermen. Als uw bedrijf daar niet aan voldoet, kunt u een hoge boete krijgen tot 4 procent van u omzet.
Iedere organisatie in Europa moet voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Wie de wet schendt, loopt het risico van zware sancties door de Autoriteit Persoonsgegevens (AP).
Voorbereid in tien stappen
Deze wet heeft grote gevolgen voor ieder bedrijf, groot en klein. Vanaf nu hebt u nog maar vier maanden. Daarom is het belangrijk nu maatregelen te nemen om klaar te zijn voor de AVG. Volg deze tien stappen van de AP en voorkom een hoge boete. De adviseurs van ExpertPlus kunnen u bij de invoering ondersteunen.
1. Bewustwording
Zorg ervoor dat de relevante mensen in uw organisatie (zoals beleidsmakers) op de hoogte zijn van de nieuwe privacyregels. Zij kunnen een goede inschatting maken van de tijd en goederen die nodig zijn.
2. Rechten van betrokkenen
Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt, meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Bijvoorbeeld bij het opvragen of verwijderen van gegevens.
3. Overzicht verwerkingen
Maak een overzicht van al u verwerkte persoonsgegevens. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. U moet hierover verantwoording kunnen afleggen.
4. Privacy Impact Assessment (PIA)
Bij invoering van de AVG wordt u ook verplicht om een Privacy Impact Assessment (PIA) uit te voeren als u data verwerkt met een hoog privacyrisico. De PIA is een instrument waarmee u vooraf kunt bepalen wat de risico’s zijn die horen bij het verwerken van bepaalde persoonsgegevens.
5. Privacy by design & privacy by default
Deze twee principes staan centraal binnen de AVG. Privacy by design houdt in dat u bij het ontwerpen van producten en diensten al zorgt dat de privacy van klanten gewaarborgd wordt. Privacy by default wil zeggen dat u technische en organisatorische maatregelen moet nemen waardoor u uitsluitend de strikt noodzakelijke gegevens verzamelt voor het specifieke doel.
Een voorbeeld is dat op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf is aangevinkt.
6. Functionaris voor de gegevensbescherming
Als uw bedrijf op grote schaal persoonsgegevens verwerkt en dit uw kernactiviteit is, ben u verplicht een functionaris voor de gegevensbescherming aan te stellen. Ook overheidsinstanties en publieke organisaties moeten zo’n functionaris hebben.
7. Meldplicht datalekken
Een hack, kwijtgeraakte laptops of usb-stick of een brand in uw datacentrum? Dit zijn voorbeelden van datalekken. De meldplicht datalekken is niet nieuw. Bij de AVG is het de bedoeling dat u alle datalekken vastlegt op zo’n manier dat de Autoriteit Persoonsgegevens precies kan zien of u genoeg hebt gedaan aan het beschermen van de gegevens.
8. Bewerkersovereenkomsten
Salarisadministratie uitbesteed? Heeft u een overeenkomst met een bewerker (verwerker in de AVG)? Controleer dan goed of de maatregelen om de privacy te waarborgen genoeg zijn voor de AVG. Breng dan tijdig wijzigingen aan.
9. Leidende toezichthouder
Is uw bedrijf internationaal actief? Als u in meerdere landen in de EU gevestigd bent, valt u onder één privacytoezichthouder. Bepaal tijdig onder welke u valt.
10. Toestemming
U moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. Het moet voor mensen net zo makkelijk zijn om hun toestemming te geven als om die in te trekken.