Het zal niemand ontgaan zijn dat per 25 mei 2018 de Algemene Verordening Gegevensverwerking (AVG) in werking treedt. Deze nieuwe regelgeving vervangt de Wet Bescherming Persoonsgegevens. De wat grotere bedrijven zijn al lang mee bezig met voorbereidingen (mogen we aannemen). Veel kleinere ondernemingen zijn waarschijnlijk nog maar kort geleden begonnen met het idee “we moeten er ook wat mee”. Dat laatste is helemaal juist. Zeker na de laatste incidenten is iedereen ervan doordrongen dat privacy zo'n beetje alles en iedereen raakt: privé, werk en bedrijf.
Binnen ons kantoor houd ik mij bezig met de invoering van de AVG en begeleid ik ondernemers met vragen over privacy. In de komende weken zal ik met enige regelmaat diverse onderwerpen toelichten die bij de invoering van de AVG voor ondernemers van belang zijn.
De AVG: waar te beginnen?
Privacy is een onderwerp dat overal in doordringt: het benaderen van klanten, het beoordelen van sollicitanten, het verwerken van personeelsgegevens, het gebruikmaken van cookies op de website, het overdragen van gegevens aan derden et cetera. In de praktijk merken we dat veel ondernemers niet goed weten waar te beginnen. Sommige ondernemers lossen het op door her en der wat modellen te verzamelen en die wat aan te passen voor het eigen bedrijf. Veel modellen zijn weliswaar goed maar deze werkwijze is wel riskant. De regelgeving is subtiel en streng (er kunnen boetes worden opgelegd!). Een fout is snel gemaakt. Het is goed om in deze fase juridisch advies in te winnen. Voor kantoor begeleid ik ondernemers met vraagstukken op het gebied van privacy.
Stap 1: Bewustwording
Het effect van de nieuwe regelgeving is nu al merkbaar. Iedereen lijkt te zijn wakker geschud. Het is van belang dat een ondernemer na gaat hoe in zijn organisatie tegen privacy wordt aangekeken en of de medewerkers over voldoende kennis beschikken. Het is van belang vast te stellen wat de AVG betekent voor de huidige werkprocessen en op welke onderdelen een aanpassing nodig is. Het kan heel nuttig zijn om in het overleg met de eigen medewerkers het onderwerp privacy en de AVG eens op de agenda te zetten. Het is goed met elkaar te bespreken hoe in de dagelijkse praktijk met gevoelige gegevens en met persoonsgegevens wordt omgegaan. Privacy moet een hygiëne factor worden en goed op orde zijn.
Stap 2: Inventariseren
- Een zeer nuttige stap is gewoon na te gaan welke gegevens nu eigenlijk binnen de eigen organisatie worden verwerkt: van klanten, bezoekers website, leveranciers, werknemers, collega's en concurrenten et cetera.
- Probeer vast te stellen waar en op welke wijze deze gegevens worden verwerkt. In de praktijk blijkt dat niet alle ondernemers goed zicht hebben op het eigen verwerkingsproces. Persoonsgegevens staan verspreid in Exceloverzichten, Word bestanden, specifieke bedrijfs software en soms zelfs in een cloud functie zoals Dropbox of Onedrive.
- Onderzoek aan wie gegevens worden verstrekt: de netwerkbeheerder (soms zelfs al uw data), de accountant (denk aan salarisadministratie), het UWV, de Arbodienst en de Belastingdienst (personeelsgegevens) en leveranciers (voor het uitvoeren van overeenkomsten en opdrachten).
- Ga na met welk doel de gegevens worden verwerkt en wat de grondslag van de verwerking is. Dit is van belang omdat de AVG een verantwoordingsplicht kent. Dit betekent dat elke organisatie die persoonsgegevens verwerkt, moet kunnen verantwoorden welke persoonsgegevens worden verwerkt en hoe dat gebeurt.
- Tot slot: waar hebben al deze personen toegang toe, moet deze toegang wellicht worden beperkt, hebben deze medewerkers voldoende kennis van de privacyregels en zijn ze gebonden aan geheimhouding?
In de volgende bijdrage bespreek ik de belangrijkste vernieuwingen en wijzigingen van de AVG.
Dit artikel is geschreven door Arthur Sweens, advocaat voor ondernemers in Alkmaar en Den Helder. Heeft u vragen bel Arthur Sweens op 0223-239 011 of 06 22 42 30 73 (ook voor Whatsapp) of mail naar sweens@knuwer.nl