Geschreven door Jasper Berkhout

Een van de gedreven krachten achter PinkWhale. Als mede-eigenaar en mede-oprichter van PinkWhale is Jasper de "communicatieman" naar buiten. Nerd in hart en nieren, maar desondanks heeft hij een flinke dosis inlevingsvermogen. Als de klant niet weet wat hij precies wil, dan is Jasper in gedachte al zes stappen verder.

Privacywet 2018, hoe bereid jij je voor?

De Algemene veroordeling gegevensbescherming (AVG) wordt per 25 mei 2018 van toepassing. Deze wetgeving overruled de Wet bescherming persoonsgegevens (Wbp) die vanaf genoemde datum volledig komt te vervallen. Voor ondernemers is het nu nóg belangrijker om voorbereid te zijn. Lees verder waar jij rekening mee moet houden en hoe jij je voorbereid op de nieuwe privacywetgeving voor 2018.

Verschil met de Wet bescherming persoonsgegevens

De voormalige (en momenteel nog leidende) Wet bescherming persoonsgegevens wordt veelal gezien als een soepelere wetgeving dan de Algemene veroordeling gegevensbescherming. De privacyrechten worden dus versterkt en uitgebreid. Als gevolg hiervan krijgen organisaties meer verantwoordelijkheden en kan deze boetes opgelegd krijgen tot maar liefst 20 miljoen euro. Goed voorbereid is dus het halve werk!

Voor wie geldt de AVG?

In feite komt het erop neer dat alle ondernemers het een en ander moeten voorbereiden op de AVG. Vastgesteld is namelijk dat de wetgeving geldt voor alle organisaties die persoonsgegevens verwerken. Een CRM of facturatietool is dus al voldoende om verplichtingen na te moeten komen.

Welke rechten hebben mensen?

Bij het verwerken van persoonsgegevens van mensen, moeten bedrijven rekening houden met enkele zaken. Zo hebben mensen het recht om organisaties te verzoeken hun verwerkte persoonsgegevens volledig te vernietigen. Dit was overigens al verplicht volgens de Wbp. Aanvullend hierop mogen mensen vereisen dat de organisatie de verwijdering ook doorgeeft aan externe betrokken partijen die via de organisatie dezelfde gegevens hebben verwerkt.

Hiernaast krijgt men het recht op dataportabiliteit. Dit betekent dat mensen hun persoonsgegevens bij een organisatie op te vragen. De organisatie is verplicht mee te werken en alle persoonsgegevens aan de betreffende persoon beschikbaar te stellen. Dit mag o.a. in XML, JSON en CSV. Er is een complete guideline voor dataportabiliteit opgesteld om richtlijnen vast te stellen. Binnen elke organisatie moet dus de beschikbaarheid bestaan om deze persoonsgegevens aan te kunnen bieden in het juiste formaat. Dat betekent dat ondernemers zich softwarematig daarop moeten voorbereiden en noodgedwongen een IT’er / programmeur moeten raadplegen om dit voor te bereiden.

Verplichtingen voor ondernemers

Aantoonbaar kunnen maken dat je als ondernemer op de hoogte bent en je als organisaties aan de regels houd, is het belangrijkste. Daarvoor moet je natuurlijk wel de nodige maatregelen treffen en weten waar je exact aan moet houden. Allereerst begint het bij verantwoordingsplicht, waarbij je moet kunnen aantonen dat je alle organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Als onderdeel hiervan moet je een DPIA (Data protection impact assessment) uit kunnen voeren. Dit is een instrument om privacyrisico’s voorafgaand van een mutatie in kaart te brengen. De DPIA is niet altijd verplicht overigens, het geldt enkel wanneer er een hoog risico bestaat voor betrokkenen. Verder moet je aantoonbaar kunnen maken welke maatregelen je treft om risico’s te minimaliseren.

Het is zeer belangrijk om zoveel mogelijk gegevens betreft dataverwerking te archiveren. Denk hierbij aan het noteren wie wanneer toegang heeft tot persoonsgegevens en wat ermee gedaan wordt. Loggen van medewerkers en overige betrokkenen is daarbij van groot belang, evenals externe (mislukte dan wel geslaagde) pogingen van toegang op te slaan.

Al leidend in de Wbp is het meldplicht voor datalekken. Binnen 72 uur ben je verplicht je datalek te melden aan de toezichthouder én - bij een hoog risico - aan personen waar de gegevens betrekking op hebben.

Zijn er ook nog voordelen?

Jazeker, de AVG is vastgesteld in de hele Europese Unie. Voorheen waren er 28 afzonderlijke nationale privacywetten. Met name voor dataverwerking in / via buitenland (waarbij ondernemers vaak onbewust betrokkenheid hebben) gaat dit flink meer overzicht creëren.

Complete wettekst

Dit artikel dient als stappenplan om jezelf als ondernemer goed voor te bereiden en vat de essentiële punten samen zoals de AVG omschrijft. Alle informatie is in detail te raadplegen in het document Wettekst AVG

Hulp bij de voorbereiding

Meer informatie of advies over de voorbereiding op de nieuwe wetgeving? Neem gerust even contact op zodat wij je persoonlijk kunnen informeren en adviseren.