De Privacywet AVG – Blog 1

Voorbereiding op AVG, de Privacywet
We krijgen er als ondernemer allemaal mee te maken, de nieuwe privacywet, de AVG. Vanaf 25 mei 2018 gaat het in.
Onlangs volgde ik een workshop door ICT-er Frank van der Meer over wat dit betekent voor ons. Ik deel graag mijn kennis met je. Ik zal proberen het zo helder mogelijk op een rijtje te zetten. Maar ben geen expert.
Daar gaat-ie:
Er moeten twee hoofdzaken gebeuren: je moet je voorbereiden en je website gereed maken. Want het heeft gevolgen voor je privacy beleid als ondernemer en het heeft gevolgen voor je website.
Dit blog gaat over de voorbereiding (wat er moet gebeuren aan je website behandel ik in een ander blog)
Eerst even in kort:
- Je moet helder krijgen welke persoonsgegevens je verzamelt, waarom je verzamelt, wat je er mee doet en hoe lang je ze bewaart.
- Je moet gelegenheid bieden om deze gegevens in te laten zien, te wijzigen of te verwijderen
- Daarvoor maak je een privacy beleid (of privacy verklaring of policy of statement, alle termen zijn goed!)
En verder
- De verzamelde persoonsgegevens gebruik je waarschijnlijk ook bij derden, zoals je factuurprogramma, je boekhouder, je hoster.
Van deze partijen moet je een verwerkersovereenkomst opvragen. Dan is duidelijk wat zij doen met de persoonsgegevens die jij verzamelt. - Je moet hiervan een overzicht maken van deze andere partijen in een eigen verwerkingsregister, met de vermelding welke gegevens je deelt, waarom, en hoelang.
- Je moet als je zelf gegevens van derden verwerkt, ook een verwerkersovereenkomst aanbieden.
Dat is nog al wat. Hoe pak ik dat aan? Stap voor stap…
Heb je meer behoefte aan uitleg hoe de AVG dan in elkaar steekt voor ons? Charlotte van Charlotte’s Law kan dat heel goed:
De Autoriteit Persoonsgegevens biedt een regelhulp
Vul de regelhulp AVG in voor jouw situatie. Klik op de vraagtekens voor uitleg. Bedenk bij het verzamelen van gegevens telkens dat je alleen persoonsgegevens bewaart die relevant zijn voor jouw bedrijfsvoering. Dus geboortedatum is niet nodig als je bijvoorbeeld bungalows of fietsen verhuurt. Maar telefoonnummer, e-mailadres, voor- en achternaam wel. En dat zijn ook persoonsgegevens. Als je alles doorlopen hebt krijg je een overzicht wat je allemaal moet regelen.
Ik vertel er hier over.
Breng in kaart wat je eigenlijk allemaal bewaart
Maak voor je zelf eens een overzicht van wat je waar bewaart. Of je het wel veilig bewaart. Kijk daarbij eens kritisch of het wel nodig is en verwijder vervolgens onnodige gegevens. Mijn eigen voorbeeld: van veel klanten heb ik een IBAN-nummer. Dat is nodig voor automatische incasso en ik bewaar dat in mijn factuursysteem (snelstart.nl). Verder nergens. Maar wacht eens even, ik heb deze contracten ook in een map in de kast. Deze gaat vanaf nu achter slot en grendel. Verder heb ik de gegevens nergens nodig.
De Privacyverklaring
Met deze link maak je gemakkelijk een privacy verklaring.
Dit zou er in elk geval in moeten staan:
- je houdt je aan nieuwste wetgeving van 25-5-2018
- je verzamelt persoonsgegevens:
- welke gegevens je verzamel je
- waarom bewaar je deze gegevens
- hoe bewaar je deze gegevens, en hoe veilig
- hoe lang bewaar je deze gegevens
- dat je een veilige SSL verbinding (https://) voor je website gebruikt, het ‘groene slotje’
- schrijf op hoe deze bewaarde gegevens kunnen worden ingezien, gewijzigd of verwijderd, maar daarbij rekening houdend met je bewaarplicht voor de Belastingdienst ( 7 jaar)
- vermeld partijen met wie je samenwerkt en hoe je dat hebt geregeld
- zeg ook dat je het recht voorbehoudt om je privacy policy op elk moment te kunnen aanpassen, zonder toestemming van klanten
Het Verwerkingsregister
Je verwerkingsregister is een document dat je aanlegt in Excel of in Word en waar je in o.a. dit opneemt:
- de naam en contactgegevens van:
- jouw bedrijf;
- eventuele andere organisaties met wie je gezamenlijk de doelen en middelen van de verwerking hebt vastgesteld.
- de doelen waarvoor je de persoonsgegevens verwerkt;
- een beschrijving van de categorieën van personen van wie je gegevens verwerkt, bijvoorbeeld klanten, uitkeringsgerechtigden of patiënten;
- een beschrijving van de categorieën van persoonsgegevens, zoals NAW-gegevens, het e-mailadres, telefoonnummers, IBAN-nummer, camerabeelden of IP-adressen;
- de datum of het moment waarop je de gegevens moet wissen;
- de categorieën van ontvangers aan wie je persoonsgegevens verstrekt;
- een algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen.
Een voorbeeld kun je hier vinden: https://www.cofian.nl/informatie/downloads/
En bij de website van autoriteitpersoonsgegevens vind je nog meer informatie.
De Verwerkersovereenkomst
Deze stap is alleen nodig als jij een service biedt waarbij klantgegevens van jouw klanten via jouw systeem gaan. Een voorbeeld: als hoster van websites mag je van mij voor 25 mei een verwerkersovereenkomst verwachten. Ik verwerk en bewaar tenslotte jouw persoonsgegevens voor het bouwen en onderhouden van websites maar ook voor je mail.
Geldt dit voor jou ook? Met de verwerkersovereenkomst regel je de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking jouw bedrijf inschakelt.
Meer info:
www.justitia.nl/privacy/bewerkersovereenkomst.html
of https://ictrecht.nl/2015/04/14/de-bewerkersovereenkomst-wanneer-wel-wanneer-niet-en-wat-zet-je-erin/
Tenslotte,
het is nu wel tijd om echt in actie te komen om op tijd klaar te zijn voor de nieuwe privacywetgeving. Het is veel gedoe! Dat wel. Maar het biedt ook mogelijkheid om eens alles voor je bedrijf eens goed op een rijtje te krijgen. Ik heb al veel opgeruimd wat ik eigenlijk altijd maar bewaarde in allerlei systemen, die gewoon weg kunnen.
En ter geruststelling: helemaal klaar zijn op 25 mei 2018 is geen verplichting. Voldoe je niet aan de wet, dan moet je in ieder geval kunnen aantonen dat je de bescherming van persoonsgegevens zeer serieus neemt en werkt aan verbetering. Kun je dat niet, dan ga je daar mogelijk wel de gevolgen van ondervinden.
Zo dan, dit is het voorbereidende werk. Daarnaast moeten er waarschijnlijk ook nog aanpassingen gedaan worden aan je website. Dat zal ik in een volgend blog bespreken. Succes met de voorbereiding! Vragen mag je me gerust stellen. Of ik je echt kan helpen weet ik niet, ik ben geen jurist.
Dit was blog 1 over de voorbereiding AVG.
In blog 2 lees je wat dit allemaal betekent voor je website.
Geef een reactie