AVG: wat zijn de 9 basisregels ook alweer? Weet jij het nog?

Ontkomen aan de AVG kun je als bedrijf niet (meer)

Het zal je een jaar geleden niet ontgaan zijn: op 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) ingegaan, ook wel GDPR genoemd. Dit zorgde voor veel onrust binnen het bedrijfsleven. De AVG stelt namelijk veel strengere eisen aan hoe je als bedrijf omgaat met persoonsgegevens van klanten, leveranciers, medewerkers en andere personen. Bijvoorbeeld zomaar nieuwsbrieven versturen zonder dat iemand daar toestemming voor heeft gegeven mag ‘ineens’ niet meer. Weet jij nog waar je je als bedrijf aan te houden hebt? Heb je het gevoel dat je nog niet alles op orde hebt? Hieronder vind je een beknopte opsomming met de 9 basisregels waar de AVG uit bestaat. Het kan zéker geen kwaad om daar nog een keer doorheen te lopen.

 

Aan deze 9 basisregels heb je je als bedrijf te houden

De AVG is in het leven geroepen om ervoor te zorgen dat de EU één privacywet heeft en dat de privacy-eisen zijn aangepast aan de huidige tijd met veel digitalisering. Daarin zijn de onderstaande basisregels vastgelegd:

 

#1. Maak medewerkers binnen jouw bedrijf bewust van de AVG

Iedereen die binnen jouw organisatie werkzaam is, moet weten dat de AVG bestaat en moet zich eraan houden. Hoe je dat doet lees je in deze AVG-checklist.

 

#2. Overweeg een Functionaris Gegevensbescherming (FG) aan te stellen. En soms is het verplicht!

Verwerk jij veel data in jouw organisatie? Dan ben je in sommige gevallen verplicht om een Functionaris Gegevensbescherming aan te stellen. Dit is een onafhankelijk intern of extern persoon die jouw bedrijf adviseert en rapporteert over de naleving van de AVG. Wanneer ben je vrijwel zeker verplicht om een FG aan te stellen?

  • Als jouw organisatie een overheidsinstantie is en/of
  • Als één van de belangrijkste activiteiten van jouw bedrijf is om privacygevoelige persoonsgegevens te verwerken (denk aan gegevens rondom iemands gezondheid en financiën) en/of
  • Als jouw bedrijf veelvuldig mensen observeert, bijvoorbeeld door observatie via camera’s of digitale observatie.

 

#3. Informeer betrokkenen over hun rechten

Laat betrokken personen, zoals klanten, leveranciers en medewerkers, op een overzichtelijke en duidelijke wijze weten dat zij recht hebben om inzage te krijgen in hoe jij als organisatie hun persoonsgegevens bijhoudt. Daarnaast hebben zij ook het recht om te verzoeken dat jouw organisatie deze gegevens corrigeert en/of verwijdert. Deze rechten kun je neerzetten in een goed opgestelde privacyverklaring (zie hieronder).

 

#4. Stel een goede Privacyverklaring op

Laat betrokkenen weten welke persoonsgegevens jouw organisatie gebruikt, wat het doel is, waar deze gegevens worden opgeslagen en wie toegang heeft tot deze gegevens. Dit kun je zetten in een goed opgestelde Privacyverklaring die je op een zichtbare plek op je website plaatst, bijvoorbeeld in de footer. Wat moet er in ieder geval in een Privacyverklaring staan?

  • Jouw bedrijfsgegevens
  • Het doel waarom je de gegevens verzamelt en vastlegt
  • Welke gegevens jouw bedrijf over de desbetreffende persoon verzamelt
  • Wie deze gegevens zien en aan wie je de gegevens eventueel doorgeeft
  • Hoe lang je de gegevens bewaart
  • Eventueel bij het gebruik van cookies: uitleg over cookies en de reden waarom je de cookies gebruikt
  • Hoe je de persoonsgegevens beveiligt
  • Je wijst de persoon op het recht om een klacht in te dienen
  • Je wijst de persoon op het recht op inzage, correctie en verwijdering van de persoonsgegevens en ook de mogelijkheid dat de persoon eigen gegevens meeneemt (dataportabiliteit)
  • Je wijst de persoon op het recht dat hij/zij altijd de mogelijkheid heeft om de verleende toestemming, dat jouw organisatie zijn/haar gegevens bewaart, in te trekken.

 

#5. Vergeet niet de meldplicht bij datalekken

Is er de kans op een datalek binnen jouw organisatie? Dan ben je verplicht om een beleid op te stellen hoe jouw organisatie met een datalek omgaat, hoe het wordt gemeld en hoe het wordt vastgelegd. Alle datalekken moeten vervolgens worden gedocumenteerd.

 

#6. Bepaal de toezichthouder

Heb jij een bedrijf met bijvoorbeeld nevenvestigingen in andere EU landen? Dan hoef je niet in elk land een toezichthouder te hebben, maar dan kun je 1 toezichthouder aanstellen. Als centrale toezichthouder zou je bijvoorbeeld kunnen kiezen voor de Autoriteit Persoonsgegevens.

 

#7. Zorg voor een Verwerkingsregister en een Data Protection Impact Assesment (niet altijd verplicht)

Een groot aantal bedrijven is verplicht om persoonsgegevens te registreren in een Verwerkingsregister en om een DPIA te doen. Vergis je er niet in door te denken dat dat niet op jouw bedrijf van toepassing, want er is een grote kans dat jouw bedrijf daartoe verplicht is!

Verwekingsregister:

In het verwerkingsregister moet je nauwkeurig bijhouden welke persoonsgegevens jouw organisatie gebruikt, wat het doel is, waar je de gegevens bewaart en met wie je ze eventueel deelt. Het register mag je schriftelijk of digitaal bijhouden. Je bent als bedrijf verplicht om de verwerking van persoonsgegevens bij te houden in een register als jouw bedrijf:

  • Structureel (en niet sporadisch) persoonsgegevens verwerkt en/of
  • Meer dan 250 medewerkers heeft en/of
  • Persoonsgegevens verwerkt die extra privacygevoelig zijn, zoals informatie over iemand zijn/haar gezondheid, financiën, godsdienst etc.

 

Twijfel je of een Verwerkingsregister nodig is? Kijk dan op de website van Autoriteit Persoonsgegevens.

 

DPIA

Verwerk je structureel de hierboven genoemde uiterst privacygevoelige persoonsgegevens, dan ben je vrijwel altijd verplicht om een DPIA te doen. Met een Data Protection Impact Analyse (DPIA) wordt een analyse gemaakt van wat de risico’s zijn van het verwerken van deze gegevens. Zijn de risico’s te groot, dan zul je als bedrijf maatregelen moeten treffen om de risico’s te verkleinen. Bijvoorbeeld door betere beveiliging van de software. De DPIA is verplicht als je als bedrijf:

  • Structureel mensen observeert in publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht
  • Als jouw bedrijf aan profilering doet en op basis van de persoonsgegevens iemand indeelt in een categorie en de persoon op basis hiervan benadert
  • Als er extra privacygevoelige informatie wordt verwerkt, zoals gegevens over iemands gezondheid, financiële situatie, godsdienst, politieke opvattingen, strafblad en genetische – of biometrische gegevens.

 

Twijfel je of jouw bedrijf verplicht een DPIA moet laten uitvoeren? Kijk dan op deze link van de Autoriteit Persoonsgegevens.

 

#8. Houd je je aan de Privacy by Design en Privacy by Default

Oftewel: vraag en verwerk alleen persoonsgegevens die je écht nodig hebt. Deze regel dwingt jou er eigenlijk toe om goed na te denken over hoe je de AVG regels in jouw organisatie inricht. Ook over hoe je dit in systemen, zoals een CRM systeem vastlegt. Persoonsgegevens vragen mag, maar denk er goed over na of je niet teveel vraagt. Hier kun je goed over nadenken d.m.v. een Privacy by Design en Privacy by Default:

 

Privacy by Design

Vraag alleen gegevens die je nodig hebt. Er zijn bijvoorbeeld aangescherpte regels rondom het versturen van nieuwsbrieven. Je moet toestemming vragen of iemand dat wil, door middel van een opt-in en een dubbele opt-in. Lees hier hoe je dit slim kunt vastleggen! Vraag geen gegevens op die je niet nodig hebt. Het is bijvoorbeeld niet logisch om iemands telefoonnummer te vragen als je een digitale nieuwsbrief wilt versturen. Nadenken over deze zaken valt onder Privacy by Design.

 

Privacy by Default

Bij Privacy by Default word je ‘gedwongen’ om goed na te denken over hoe jij de persoonsgegevens in diverse systemen vastlegt. Denk na over vragen als: “Hoe richt je jouw opt-in formulier in?” en “Welke vinkjes op een formulier mogen standaard wel of niet aan staan?” Met de nieuwe AVG wet heeft de persoon om wie het gaat veel meer de regie gekregen over hoe er met zijn of haar persoonsgegevens wordt omgegaan. Check of alle (software)systemen, formulieren en invoervelden die jouw organisatie gebruikt om persoonsgegevens te verkrijgen zich aan deze regels houden.

 

#9. Vraag áltijd om toestemming

En last but not least: je bent als organisatie verplicht om te kunnen aantonen dat jij de toestemming hebt gekregen om van de desbetreffende persoon zijn of haar persoonsgegevens te bewaren. Heel belangrijk hierbij is dat je kunt laten zien hoe je de toestemming hebt gevraagd, dat je kunt aantonen dat je toestemming hebt gekregen en hoe je de toestemming registreert. “Hoe doe ik dit?”, denk je nu misschien. Eén van de handige hulpmiddelen die je hiervoor kunt inzetten is een CRM systeem, zoals Microsoft Dynamics 365. In mijn blog ‘AVG, 1 jaar later. Hoe sta jij ervoor? Gebruik de handige checklist!’ vind je hierover vele handige tips.

 

Kan er nog best wel wat beter?

Heb je het gevoel dat de AVG binnen jouw organisatie nog niet optimaal geregeld is? Of heb je vragen over de AVG en hoe je dit als organisatie goed organiseert? Ik help je er graag mee. Ook kun je bij mij om advies vragen hoe een CRM systeem jouw bedrijf hierin kan ondersteunen. Neem contact met mij op door een e-mail te sturen of mij te bellen.

 

Download ook de 10 gratis tips voor een succesvol CRM!

 

Leo Rietbergen

 

Microsoft Dynamics 365 CE specialist l CRM Coach l CRM Adviseur

E-mail: leo@inteleo.nl • tel: +31 6 14 84 64 73



Geef een reactie