‘De AVG draait om de bescherming van persoonsgegevens. Dat kunnen gegevens van je klanten zijn, maar ook van je medewerkers, prospects, sollicitanten of leveranciers. Het gaat in ieder geval niet om bedrijfsgegevens, enkel om gegevens die te herleiden zijn naar een persoon. De wet legt de verantwoordelijkheid bij jou als ondernemer om aan te tonen dat je aan de privacyregels voldoet.
Maar waar begin je? Een belangrijke en logische eerste stap, is het in kaart brengen van welke persoonsgegevens je verwerkt. Vervolgens is het belangrijk om maatregelen te treffen om die gegevens correct en veilig te verwerken.
Tip 1: Stel een privacyreglement en cookieverklaring op
Onder de AVG heb je als ondernemer een informatieplicht. Dit betekent dat je verplicht bent om nieuwe en bestaande klanten duidelijk te informeren over wat je met hun persoonsgegevens doet en waarom. Stel dus een privacyreglement op en zet dit op je website. Heb je een website waarmee je cookies verzamelt? Dan ben je ook verplicht een cookieverklaring op te stellen. Daarin leg je uit welke cookies je gebruikt en met welk doel.
Tip 2: Maak afspraken met verwerkers
Geef je persoonsgegevens door aan andere partijen? Bijvoorbeeld aan een salarisadministrateur of hostingpartij? Dan moet je met deze partij (ook wel ‘verwerker’ genoemd) afspraken maken over de verwerking van de gegevens. Deze afspraken moeten schriftelijk worden vastgelegd. Het document waarin de afspraken staan beschreven wordt een ‘verwerkersovereenkomst’ genoemd.
Tip 3: Stel een verwerkingsregister en datalekregister op
In een register van alle verwerkingsactiviteiten houd je bij welke persoonsgegevens je verwerkt, waarom je deze gegevens verwerkt, waar en hoe lang je deze gegevens bewaart en hoe je dit hebt beveiligd. Naast het registreren van verwerkingsactiviteiten ben je verplicht eventuele datalekken binnen je organisatie te registreren. Ernstige datalekken moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens.
Heb je hulp nodig bij datalekken? En ben je klant bij ABN AMRO? Maak dan gratis gebruik van Privacy Zeker Start: hier kun je datalekken melden, ondersteuning krijgen en nog veel meer.
Tip 4: Neem technische en organisatorische maatregelen
De wet schrijft voor dat je ‘passende technische en organisatorische maatregelen’ moet nemen om persoonsgegevens, waarvoor je als ondernemer verantwoordelijk bent, te beschermen. Dit is natuurlijk heel breed, maar hierbij bedoelt de wetgever maatregelen als encryptie van gegevens, maar ook toegangscontrole (fysiek en digitaal), een veilig wachtwoordbeleid en regelmatige back-ups.
Tip 5: Creëer privacy-bewustzijn
Misschien is dit nog wel de belangrijkste tip: zorg dat privacy gaat leven binnen je organisatie, want met alleen vastleggen ben je er nog niet. Weten je medewerkers wat privacy betekent in hun dagelijkse werkzaamheden en hoe ze veilig met persoonsgegevens om kunnen gaan? En weten ze wat te doen in geval van een datalek? Het trainen van medewerkers rondom privacy is daarom essentieel.’
Tip 6: Behaal een privacy-certificaat
Een privacy certificaat, zoals het ISO 27001-certificaat of het Privacy Zeker-certificaat, kan helpen bij het voorkomen van een boete. Het toont namelijk aan dat jouw organisatie voldoet aan bepaalde privacy- en gegevensbeveiligingsnormen; en dus aan de regelgeving. Ook laat je autoriteiten weten dat je alle redelijke maatregelen hebt genomen om privacyproblemen te voorkomen. Dat kan de hoogte van een mogelijke boete verlagen of zelfs voorkomen.
Houd je bedrijf regelmatig onder de loep
De wereld is continu in beweging: ook op het gebied van privacy. Het is dus belangrijk om regelmatig stil te staan bij de AVG. Voldoet je onderneming nog aan alle privacy-regels en kun je daarmee een AVG-boete voorkomen?
Veranderingen binnen je bedrijf kunnen gevolgen hebben voor de privacy. Stel, je hangt beveiligingscamera's op in je pand. Dan heeft dat invloed op de processen en documenten, die je voor de AVG hebt opgesteld. Ook de wetgeving zelf kan veranderen, waardoor diensten zoals telecom en cybersecurity, aangepast moeten worden. Hier ben je als ondernemer zelf verantwoordelijk voor. Onderneem je geen actie? Dan voldoe je niet meer aan de AVG.
Doe de gratis privacycheck
Voldoet jouw bedrijf al aan alle eisen die de AVG stelt? Twijfel je of je alles wel goed geregeld heeft? Of heb je eigenlijk geen idee? Privacy Zeker heeft een handige privacycheck. Daarmee kom je er binnen 10 minuten achter of je bedrijf al AVG-proof is of aan welke punten je nog aandacht moet besteden.
Meer weten over de AVG? Lees het artikel 'Alles wat ondernemers moeten weten over de AVG-wet'.
