- 14/05/2019
- Posted by: leo
- Categorie: AVG
Je wilt geen AVG boete aan je broek krijgen
Het is mei 2019 en dat betekent dat het een jaar geleden is dat de nieuwe privacywetging ‘de AVG’ (Algemene Verordening Gegevensbescherming) is ingegaan. Dat betekent dat jouw bedrijf aan veel meer regels gebonden is om met persoonsgegevens van klanten, leveranciers, medewerkers en andere personen om te gaan! Ieder bedrijf, groot of klein, heeft ermee te maken. Daarom vind je hier als opfrisser een handig en eenvoudig overzicht van de AVG regels. Nu, een jaar later, hoe sta jij er eigenlijk voor als bedrijf? Heb je alles op orde, zodat je niet in de problemen komt als bijvoorbeeld een klant of leverancier er problemen van maakt hoe jij met zijn of haar persoonsgegevens omgaat? Je moet er niet aan denken dat er een grote boete boven je hoofd hangt, toch? De onderstaande checklist geeft je nèt even dat zetje om de AVG regels binnen jouw organisatie te toetsen.
Waarom is de AVG ook alweer in het leven geroepen?
Eigenlijk om deze 3 redenen: 1) binnen Europese instanties was er de behoefte om de privacywetgeving veel meer te uniformiseren 2) door de groei van de digitalisering, moest de oude privacywetging vernieuwd worden 3) privacy is een heel actueel onderwerp en iedereen vindt het steeds belangrijker dat zijn/haar achtergelaten persoonsgegevens in goede handen zijn.
Gebruik deze AVG checklist en voorkom problemen
In de blog over de 9 basisregels van de AVG lees je in begrijpelijke taal aan welke regels je je als bedrijf hebt te houden. De onderstaande checklist geeft je extra tips hoe je deze AVG regels het beste kunt uitvoeren en optimaliseren:
#1. Regel: maak medewerkers binnen jouw bedrijf bewust van de AVG
Oplossing: stel een memo op waarin kort en bondig de AVG regels staan. Mail dit naar jouw medewerkers, print het uit en hang het op plaatsen waar men het kan zien, zoals de kantine. Stel daarnaast een groep samen, bestaande uit medewerkers die zich bezighouden met data, beveiliging, klantenservice en de sales. Kom geregeld met deze groep bij elkaar en bewaak tijdens deze sessies de voortgang van de AVG binnen jouw bedrijf.
#2. Overweeg een Functionaris Gegevensbescherming (FG) aan te stellen, soms is het zelfs verplicht
Oplossing: check de eisen of jouw organisatie verplicht is om een FG aan te stellen [Link naar blog AVG: wat zijn de 9 basisregels ook alweer? Weet jij het nog?]. Is dat het geval, heb je de Functionaris Gegevensbescherming al aangemeld bij de Autoriteit Persoonsgegevens? Dat is namelijk verplicht! Wil je weten wat de taken zijn van de FD, download dan deze pdf met de richtlijnen en taken voor een Functionaris Gegevensbescherming.
#3. Informeer betrokkenen over hun rechten
Oplossing: zet de rechten van de mensen waarvan jij persoonsgegevens bewaart in een Privacyverklaring. Heb jij het afgelopen jaar klachten gehad over hoe jij de gegevens bewaart? Is er bijvoorbeeld een klant geweest die vindt dat zijn of haar gegevens incorrect waren? Maak een plan hoe je met dit soort klachten omgaat en betrek je medewerkers hierin.
#4. Stel een goede Privacyverklaring op
Oplossing: heb jij al een privacyverklaring? De meeste bedrijven hebben dit het afgelopen jaar goed geregeld. Maar pas op: staat alles er wel correct in? Zie je niets over het hoofd? Is er op basis van gebeurtenissen in het afgelopen jaar een aanpassing nodig? Neem de privacyverklaring die jouw organisatie hanteert daarom nóg een keer grondig door. Lees hier hoe je een goede privacyverklaring opstelt.
#5. Vergeet niet de meldplicht bij datalekken
Oplossing: check voor de zekerheid of er databeveiligingsbeleid is gemaakt waarin staat welke stappen jouw organisatie neemt als er een datalek is ontstaan of om een datalek te voorkomen. Lees hier nuttige tips wat je in een databeveiligingsbeleid moet zetten.
#6. Bepaal de toezichthouder
Oplossing: ben je het afgelopen jaar gaan uitbreiden met een vestiging buiten Nederland? Dan hoef je niet ook in dat land een toezichthouder aan te stellen, maar kun je dit laten uitvoeren door het ‘Een-loketmechanisme’ (ook wel ‘onestopshop’ genoemd) van de Autoriteit Persoonsgegevens. Hoe je dit doet, dat lees je op de website van de Autoriteit Persoonsgegevens.
#7. Zorg voor een Verwerkingsregister en een Data Protection Impact Assesment (niet altijd verplicht)
Oplossing: heb jij al gecheckt op de website van de Autoriteit Persoonsgegevens of jouw bedrijf (inmiddels) verplicht is om een Verwerkingsregister te hebben? Of heb je dit het afgelopen jaar opgesteld, maar weet je niet of alles goed is geregisterd? Lees de informatie over een Verwerkingsregister op de website van de Autoriteit Persoonsgegevens. Zijn er veranderingen binnen jouw organisatie geweest waardoor je (nu ineens) een Data Protection Impact Assesment (DPIA) moet doen? Bijvoorbeeld omdat je andere of meer privacygevoelige persoonsgegevens bent gaan registeren, zoals iemands financiële of medische gegevens? Of ben je vergeten om te checken of jouw organisatie verplicht is om dit te laten doen? Lees dan écht de regels rondom de DPIA door.
#8. Houd je je aan de Privacy by Design en Privacy by Default
Oplossing: heb jij alle (software) systemen al gecheckt of je daarin op de juiste manier om persoonsgegevens vraagt, de gegevens juist registreert en verwerkt? Vraag je niet teveel informatie van mensen? Staan op formulieren bepaalde vakjes niet op automatisch ‘aan’, etc. Veel vragen en inzichten waar je over na moet denken. Wil je hier meer tips over? Lees dan dit interessante artikel met tips over Privacy by Design en Privacy by Default.
#9. Vraag áltijd om toestemming
Oplossing: bij heel veel bedrijven ontstond in de aanloop naar de invoering van de AVG in mei 2018 en in het afgelopen jaar enorme onrust. Vooral op het gebied van het versturen van bijvoorbeeld nieuwsbrieven per e-mail, omdat hieraan in de AVG strengere eisen zijn gesteld. Misschien was deze onrust er ook binnen jouw organisatie? Waar het op neerkomt is dat een bedrijf zonder Opt-in geen e-mails meer mag versturen naar een persoon. Een opt-in is een toestemming die de houder van een e-mailadres heeft gegeven dat jij als bedrijf aan hem of haar een e-mail mag sturen. Hoe doe je dit en hoe houd je dit het beste bij? Hiervoor zijn er 2 slimme tips:
- Zet hiervoor een CRM systeem in. In een CRM systeem kun je perfect bijhouden welke contactpersonen voor welke e-mail uiting(en) een Opt-in of Opt-out hebben. Zo kun je nooit meer fouten maken door per ongeluk een e-mail te sturen naar iemand die daar nog geen toestemming voor heeft gegeven. Wil je weten waar jij dit in jouw bestaande of nieuwe CRM systeem kunt bijhouden? Stuur een mailtje met jouw vraag naar leo@inteleo.nl. En je hebt mijn toestemming om mij te mailen voor vragen 😊.
- Met Marketing automation oplossingen, zoals ClickDimensions kun je super makkelijk e-mails maken en zonder problemen naar bepaalde doelgroepen versturen. Ook kun je met deze tools formulieren maken om je contactpersonen de e-mail voorkeuren bij te laten houden (subscription management). Je kunt het subscription management ook doen met tools zoals Mailchimp, maar dan zijn de integratiemogelijkheden met CRM niet zo uitgebreid.
Een jaar later, hoe sta jij er nu voor met de AVG?
De bovenstaande checklist geeft jou inzicht of alles rondom AVG binnen jouw organisatie goed is geregeld. Én het is handig om het er regelmatig bij te pakken als de situatie in jouw bedrijf is veranderd, bijvoorbeeld door een fusie, uitbreiding van de diensten, groei of inkrimping. De AVG staat nooit stil, omdat jouw bedrijf dat ook niet doet. Twijfel je nog over bepaalde zaken of heb je vragen over de AVG, bijvoorbeeld in combinatie met CRM of Clickdimensions? Ik help je er graag mee. Neem contact met mij op door een e-mail te sturen of mij te bellen.
Bekijk ook de Kennisbank met tips, artikelen en checklists over CRM, Social Media, Online Marketing, Customer Experience en meer!
Leo Rietbergen
Microsoft Dynamics 365 CE specialist l CRM Coach l CRM Adviseur
E-mail: leo@inteleo.nl • tel: +31 6 14 84 64 73