5 tips om een AVG-boete te voorkomen

De nieuwe privacywet (AVG) is sinds 25 mei 2018 van kracht. De toezichthouder in Nederland, de Autoriteit Persoonsgegevens, verwacht dit jaar de eerste AVG-boetes uit te delen. En die zijn niet mis: tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Al eerder meldde de toezichthouder dat het mkb geen uitzonderingspositie of een mildere aanpak krijgt bij handhaving van de AVG. Veel ondernemers voldoen nog niet aan de AVG. Daarom geeft Kor de Boer, commercieel directeur van Privacy Zeker, 5 tips om een boete te voorkomen.

‘De AVG draait om de bescherming van persoonsgegevens. Dat kunnen gegevens van uw klanten zijn, maar ook van uw medewerkers, prospects, sollicitanten of leveranciers. Het gaat in ieder geval niet om bedrijfsgegevens, enkel om gegevens die te herleiden zijn naar een persoon. De wet legt de verantwoordelijkheid bij u als ondernemer om aan te tonen dat u aan de privacyregels voldoet. Maar waar begint u? Een belangrijke en logische eerste stap, is het in kaart brengen van welke persoonsgegevens u verwerkt. Vervolgens is het belangrijk om maatregelen te treffen om die gegevens correct en veilig te verwerken.

 

Tip 1: Stel een privacyreglement en cookieverklaring op

Onder de AVG heeft u als ondernemer een informatieplicht. Dit betekent dat u verplicht bent om nieuwe en bestaande klanten duidelijk te informeren over wat u met hun persoonsgegevens doet en waarom. Stel dus een privacyreglement op en zet dit op uw website. Heeft u een website waarmee u cookies verzamelt? Dan bent u ook verplicht een cookieverklaring op te stellen. Daarin legt u uit welke cookies u gebruikt en met welk doel.

 

Tip 2: Maak afspraken met verwerkers

Geeft u persoonsgegevens door aan andere partijen? Bijvoorbeeld aan een salarisadministrateur of hostingpartij? Dan moet u met deze partij (ook wel ‘verwerker’ genoemd) afspraken maken over de verwerking van de gegevens. Deze afspraken moeten schriftelijk worden vastgelegd. Het document waarin de afspraken staan beschreven wordt een ‘verwerkersovereenkomst’ genoemd.

 

Tip 3: Stel een verwerkingsregister en datalekregister op

In een register van alle verwerkingsactiviteiten houdt u bij welke persoonsgegevens u verwerkt, waarom u deze gegevens verwerkt, waar en hoe lang u deze gegevens bewaart en hoe u dit heeft beveiligd. Naast het registreren van verwerkingsactiviteiten bent u verplicht eventuele datalekken binnen uw organisatie te registreren. Ernstige datalekken moet u binnen 72 uur melden bij de Autoriteit Persoonsgegevens.

 

Tip 4: Neem technische en organisatorische maatregelen

De wet schrijft voor dat u ‘passende technische en organisatorische maatregelen’ moet nemen om persoonsgegevens, waarvoor u als ondernemer verantwoordelijk bent, te beschermen. Dit is natuurlijk heel breed, maar hierbij bedoelt de wetgever maatregelen als encryptie van gegevens, maar ook toegangscontrole (fysiek en digitaal), een veiligwachtwoordbeleid en regelmatige back-ups.

 

Tip 5: Creëer privacy-bewustzijn

Misschien is dit nog wel de belangrijkste tip: zorg dat privacy gaat leven binnen uw organisatie, want met alleen vastleggen bent u er nog niet. Weten uw medewerkers wat privacy betekent in hun dagelijkse werkzaamheden en hoe ze veilig met persoonsgegevens om kunnen gaan? En weten ze wat te doen in geval van een datalek? Het trainen van medewerkers rondom privacy is daarom essentieel.’

 

Doe de gratis privacy check

Voldoet uw bedrijf al aan alle eisen die de AVG stelt? Twijfelt u of u alles wel goed geregeld heeft? Of heeft u eigenlijk geen idee? Privacy Zeker heeft een handige privacy check. Daarmee komt u er binnen 10 minuten achter of uw bedrijf al AVG-proof is of aan welke punten u nog aandacht moet besteden.

Kor de Boer

Privacy-expert en commercieel directeur van Privacy Zeker

    Meer over

    Ook interessant