Op 25 mei 2018 is het dan zover: de nieuwe Algemene Verordening Gegevensbescherming AGV of GDPR op z’n Engels) treedt in werking. Er komt nieuwe privacywetgeving dat geldt voor heel Europa. Deze nieuwe strenge privacyregelgeving houdt de gemoederen al een tijd flink bezig, en terecht. Je moet er rekening mee houden dat jouw bedrijf ook op dit gebied de zaken op orde moet hebben. Wat gaat er nu echt allemaal veranderen? Wij hebben een handige privacy-checklist gemaakt met concrete actiepunten.

Wat gaat er veranderen?

Het doel van de nieuwe privacywetgeving is om persoonsgegevens van Europese inwoners te beschermen. Om dat doel te bereiken zijn de regels op het gebied van privacy flink aangescherpt. Hieronder een opsomming van de belangrijkste veranderingen.

Het begrip ‘persoonsgegevens’ wordt verbreedt, je activiteiten vallen sneller onder de privacywet

Onder persoonsgegevens vallen naast bestanden met naam, adres etc. vanaf inwerkingtreding van de privacywet ook gegevens gekoppeld aan IP-adressen, Mac-adressen en cookies etc. Het gaat om alle informatie waardoor een persoon geïdentificeerd kan worden. Wees je er daarom van bewust dat ook binnen je eigen organisatie eventuele aanpassingen moeten worden gemaakt om de privacy te waarborgen.

Actiepunt: Ga bewust om met de nieuwe regels en breng alvast in kaart (of instrueer de desbetreffende medewerkers) welke processen, diensten of producten geraakt zullen worden door de regels en ook welke aanpassingen er nodig zijn.

Zorg ervoor dat je Privacyverklaring AGV-proof is

Je privacyverklaring moet nog transparanter worden. In de privacyverklaring moet je precies in beknopte, transparante en eenvoudige taal uitleggen wat je doet met persoonlijke gegevens van de klant. Bovendien moet je ook in de privacyverklaring opnemen welke rechten de klant allemaal heeft:

• Zoals het recht om de gegevens in te zien;
• Het recht om de gegevens te wijzigingen;
• Het recht op gegevenswissing (recht op om vergeten worden);
• Of het recht om gegevens over te dragen.

Als je gebruik maakt van interesseprofielen, dan moet je deze op verzoek van de klant verwijderen.
Ten slotte moet je ook in de privacyverklaring vermelden dat de klant het recht heeft om een klacht in te dienen bij de autoriteit persoonsgegevens (toezichthouder).

Actiepunt: Privacyverklaring op orde maken. Laat je privacyverklaring op maat maken door een specialist zodat deze in lijn is met de nieuwe regels. Of voer de benodigde aanpassingen door in je huidige verklaring. Wij kunnen je privacyverklaring op maat maken. Direct aanvragen of meer informatie.

Ga na of je een verwerkersovereenkomst nodig hebt

 Een verwerkersovereenkomst (tot 25 mei 2018 nog bewerkersovereenkomst geheten) heb je nodig wanneer je anderen laat werken met persoonsgegevens van je klanten, maar ook wanneer je zelf voor anderen persoonsgegevens opslaat. Je bent dan wettelijk verplicht om afspraken hierover vast te leggen met leveranciers of afnemers. Je hebt bijvoorbeeld al een bewerkersovereenkomst nodig wanneer je gebruik maakt van clouddiensten om persoonsgegevens op te slaan. Maar ook wanneer je als bedrijf bijvoorbeeld een online boekhoudprogramma aanbiedt of facturatie uitvoert namens opdrachtgevers. In de verwerkersovereenkomst leg je o.a. vast voor welke doeleinden de gegevens mogen worden verwerkt, welke beveiligingsmaatregelen moeten worden genomen, welke vormen van toezicht de eigenaar van de gegevens mag uitoefenen en hoe het zit met de onderlinge aansprakelijkheid.

Actiepunt: Stel vast of je een verwerkersovereenkomst nodig hebt. Maak hierover afspraken met de desbetreffende leverancier/afnemer. Laat een verwerkersovereenkomst op maat maken door een specialist.

Is je beveiliging (nog steeds) in orde?

Veiligheid is en blijft belangrijk. Het is van groot belang om de veiligheid van persoonsgegevens te waarborgen. Regel de benodigde encryptie en tweefactorauthenticatie. Kan je bovendien persoonlijke informatie veilig scheiden en wissen? Zo niet, dan zit daar een groot risico en dien je dat aan te scherpen.

Actiepunt: Controleer je systemen regelmatig op risico’s. Is alles nog steeds op orde en waar kunnen verbeteringen doorgevoerd worden? Met de invoer van de nieuwe privacywetgeving wordt dit punt nog belangrijker!

Besteedt aandacht aan de interne organisatie en ook documentatie van persoonsgegevens

Het maakt niet uit of je een grote of kleine onderneming hebt, wanneer je met persoonsgegevens werkt is het ook belangrijk om te zorgen dat alles intern goed gedocumenteerd is. Zo moet je voortaan:

• Alle verwerkingen van persoonsgegevens documenteren (ook personeelsadministratie en nieuwsbrief). Stel hiervoor een register op waarbij je bijhoudt welke persoonsgegevens verwerkt worden, met welk doel en de beveiliging;
• Verzamel zo min mogelijk privacygevoelige informatie en verwijder deze het liefst ook zo snel mogelijk. Is bepaalde informatie niet meer relevant? Dan direct weggooien/ verwijderen;
• Houdt alle informatie up-to-date: je moet kunnen omgaan met verzoeken van personen, zoals een verzoek om inzage of correctie van hun gegevens;
• Documenteer alle datalekken; ook de datalekken die niet gemeld hoeven te worden aan de toezichthouder.

Actiepunt: Ga na  waar je documentatie (op bovengenoemde vlakken) verbeterd kan worden of begin alvast met het opstellen van een interne database als je dat nog niet hebt gedaan.
 

‘Privacy by design’ en ‘Privacy by default’

Houdt al vanaf het moment dat je nieuwe producten of diensten gaat ontwikkelen rekening met privacyaspecten. Dit wordt ook wel ‘Privacy by design’ genoemd. Concreet betekent dit bijvoorbeeld dat je niet meer gegevens verzameld om een bestelling af te handelen en dat je deze gegevens ook niet langer bewaard dan nodig is. Daarnaast heb je ook ‘Privacy by default’en dit betekent kort gezegd dat je technische en organisatorische maatregelen moet nemen, om ervoor te zorgen dat je standaard alleen persoonsgegevens verzameld die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken.

Actiepunt: Zorg dat je organisatie nu al vertrouwd raakt met bovengenoemde uitgangspunten Privacy by design en Privacy by default en ga na hoe je deze beginselen zo goed mogelijk kan doorvoeren.

Buitenlandse partijen

Werk je met buitenlandse partijen? Zorg er het liefst voor dat alle persoonlijke informatie binnen de EU wordt opgeslagen. Wordt persoonlijke informatie toch buiten de EU opgeslagen? Dat is alleen toegestaan wanneer er voldoende bescherming wordt gewaarborgd.

Actiepunt: controleer of buitenlandse partijen (bijv. hosting, Google, nieuwbrief) waarmee je werkt persoonlijke informatie binnen of buiten de EU opslaan. Neem indien nodig passende maatregelen.

Aan de slag!

We gaan ervan uit dat je met onze actiepunten direct aan de slag kan met het implementeren van aspecten van de nieuwe privacywetgeving! Het is belangrijk om hier op tijd mee te beginnen. Houdt er rekening mee dat privacy zeer belangrijk is geworden en dat je dit niet tot op het laatst uitstelt. De boetes onder de nieuwe privacywetgeving kunnen namelijk heel hoog op lopen. De maximale boete onder de huidige privacywetgeving bedraagt 900.000 euro, maar met de invoer van de AVH wordt dit 20 miljoen euro of 4% van de jaaromzet.

Is jouw Privacyverklaring al AGV-Proof? Voor 99,- euro ex.btw maken wij deze op maat.

Meer informatie