Het kan u bijna niet zijn ontgaan: op 25 mei treedt er een nieuwe privacywet in werking: de AVG. Alle profit- en non-profitorganisaties, van multinationals tot ZZP’ers, die persoonsgegevens verwerken (= opslaan!), dienen vanaf deze datum aan de Europese privacywetgeving te voldoen. Dat geldt voor alle landen binnen de Europese Unie, maar ook voor landen buiten de EU die met één of meer van de EU-lidstaten zaken doen.
Onder de Algemene verordening gegevensbescherming (AVG oftewel GDPR) krijgen mensen van wie u persoonsgegevens verwerkt meer en betere privacyrechten. Dat geldt voor uw klanten, maar ook voor uw medewerkers en andere betrokkenen. In een aantal gevallen worden er zelfs extra strenge eisen gesteld. Bijvoorbeeld wanneer u medische gegevens opslaat, gegevens van minderjarigen of strafrechtelijke gegevens. Ook organisaties die op grote schaal persoonsgegevens verwerken, zullen extra zorgvuldig moeten zijn onder de nieuwe privacywet. Vraagt u zich af waar u moet beginnen? Op internet zijn veel hulpmiddelen te vinden die het u makkelijker maken.
Autoriteit persoonsgegevens
Op de website van de Autoriteit persoonsgegevens (AP) vindt u uitgebreide algemene informatie over de meeste aspecten van de AVG. De AP is in Nederland de instantie die naziet of de wet correct wordt nageleefd en boetes kan uitdelen wanneer u deze overtreedt. Een sanctie kan kostbaar uitpakken: boetes kunnen oplopen tot maximaal 20.000.000 euro of 4% van de wereldwijde jaaromzet. Op de website van de AP vindt u een AVG 10-stappenplan en een handig, beknopt overzicht: de AVG in een notendop.
Regelhulp
Bijzonder handig is de Regelhulp Algemene verordening gegevensbescherming. U hoeft slechts een aantal vragen met ‘ja’ of ‘nee’ te beantwoorden en u krijgt vervolgens een overzicht welke zaken voor u van belang zijn. Voorbeelden hiervan zijn of u bijzondere of strafrechtelijke persoonsgegevens verwerkt, welke grondslagen u heeft om persoonsgegevens te verwerken, of u een Functionaris voor de gegevensbescherming (FG) nodig heeft en of u verplicht bent om een data protection impact assessment (DPIA) uit te voeren.
Privacyverklaring
Onder de nieuwe wet heeft u ook een informatieplicht. Dat betekent dat u uw klanten en prospects moet informeren over wat u met hun persoonsgegevens doet. Zo’n privacyverklaring dient aan een aantal voorwaarden te voldoen. Hoe u zo’n verklaring opstelt, kunt u hier lezen. Op de website Veilig internetten.nl vindt u eveneens een overzicht van aandachtspunten. Houd er rekening mee dat uw verklaring voor iedereen duidelijk is. De AVG schrijft namelijk voor dat uw verklaring beknopt, transparant en begrijpelijk dient te zijn. Jargon kunt u dus beter vermijden. In plaats daarvan kunt u beter eenvoudige taal gebruiken.
Rechten van betrokkenen
Een laatste aandachtspunt dat ik in dit blog wil bespreken, zijn de rechten van de mensen van wie u persoonsgegevens verwerkt. Hun rechten worden onder de AVG verbeterd en uitgebreid. Zo komt er het recht om vergeten te worden (vergetelheid) en het recht op overdraagbaarheid van persoonsgegevens (dataportabiliteit). Wanneer een klant van u wil weten welke persoonsgegevens u van hem heeft opgeslagen, dan bent u verplicht om deze in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken. Een complicerende factor is dat deze persoonsgegevens vaak in verschillende systemen en formaten zijn opgeslagen. Sla daarbij de papieren documenten niet over, want ook die vallen hieronder! U zult dus moeten kunnen achterhalen wat u waar, over wie heeft opgeslagen. Wanneer u zo’n aanvraag van iemand binnenkrijgt, kan dat veel (hand)werk betekenen. Hiervoor zijn handige oplossingen op de markt. Softwarerobots kunnen al uw systemen en gescande papieren documenten doorzoeken, archiveren of laten vernietigen. Volledig in lijn met de AVG. Handig voor wanneer u in tijdnood komt!
Meer weten?
jon.hoofwijk@IT-tekstschrijver.nl
06 26 192 054
