Privacywet 2018: voorkom een boete en bereid je nu voor

Data, datacenter

Als ondernemer heb je tot 25 mei 2018 de tijd om te voldoen aan de nieuwe privacywet. Voorkom een boete en bereid je nu voor op de AGV (Algemene Verordening gegevensbescherming). 

Heb je al van de nieuwe privacywet, de zogeheten Algemene Verordening Gegevensbescherming (AVG) gehoord en zo ja, ben je al bezig met de voorbereidingen? Zes op de tien mkb-bedrijven namelijk niet. De ondernemers beseffen ook niet dat deze privacyregels hen geld kan gaan kosten. De maximale boete is zelfs 20 miljoen euro of 4 procent van je jaarlijkse (wereldwijde) omzet.

De wet trad al in mei 2016 in werking; als ondernemers wordt van je verwacht dat je vanaf die tijd al bezig bent geweest om je bedrijfsvoering met de AVG in overeenstemming te brengen. Je krijgt daarvoor nog tot uiterlijk 25 mei 2018 de tijd. Dat betekent dus dat je vanaf 25 mei 2018 (let op: nog minder dan een jaar!) aan de nieuwe privacyregels moet voldoen. Na deze datum mag iedereen elk willekeurig bedrijf op de naleving van de AVG aanspreken.

Lees ook: 
Hoe groot is je kans op een torenhoge privacyboete?
E-mail- en privacywetgeving: wat mag wel en wat niet?

Niet alleen grote bedrijven

"Je slaat de plank volledig mis als je denkt dat alleen grote bedrijven zoals Facebook kunnen worden aangesproken", zegt jurist Gwenny Titulaer van HBO Juristen. "Ook (kleine) webshops, de financiële dienstverleners en gewoonweg iedereen die met klantendata werkt, krijgt zonder enige twijfel te maken met deze wetgeving."

Maar veel van die ondernemers beseffen nog amper wat de impact van de nieuwe privacyregels is op hun processen en diensten. Titulaer: "Voorkom onnodige, torenhoge boetes en begin op tijd met de technische, administratieve en organisatorische maatregelen om je aan deze nieuwe privacywet te houden."

Titulaer somt de belangrijkste punten op waarmee je rekening moet houden:

1. Breng de verwerking van je privacygegevens volledig in kaart

Hiermee bedoelen we alle persoonsgegevens die je verwerkt als bedrijf én met welk doel je dit doet. Maar registreer ook waar deze gegevens vandaan komen en met wie je ze allemaal deelt. 

2. Draag zorg voor de privacyrechten van je betrokkenen

De mensen van wie je persoonsgegevens verwerkt, krijgen straks meer en verbeterde privacy-rechten door deze nieuwe wet. Ze moeten hun gegevens gemakkelijk kunnen inzien, laten corrigeren en op verzoek laten verwijderen of ze kunnen doorgeven aan een andere organisatie.  

3. Voer een privacy impact assessment (PIA) uit

Hiermee wordt een middel bedoeld om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, waarna je maatregelen kunt nemen om de risico’s te verkleinen. De werkgroep van Europese privacytoezichthouders heeft criteria opgesteld om zo’n risico te bepalen. De Autoriteit Persoonsgegevens (AP) zal verder ook op korte termijn een lijst van verwerkingen publiceren waarvoor een PIA verplicht is.

4. Verwerk de 'privacy by default' in je bedrijfsvoering

Dit houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je standaard alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wilt bereiken met je bedrijfsvoering. 
Je kunt hierbij bijvoorbeeld denken aan het vakje op je website ‘Ja, ik wil aanbiedingen ontvangen’: dat mag je niet vooraf aanvinken.  

5. Controleer de privacyverklaring van je bedrijf

Deze verklaring moet door de nieuwe wetgeving meer gedetailleerde informatie bevatten en in begrijpelijke taal zijn geschreven. 

6. Ga na of je bedrijf verplicht is een functionaris voor de gegevensverwerking aan te stellen

Sommige organisaties zijn verplicht om een functionaris voor de gegevensverwerking (FG) aan te stellen. Wacht hier niet te lang mee! Uiteraard mag je organisatie ook vrijwillig een FG aanstellen.                                       

7. Documenteer alle datalekken en zorg voor een duidelijke procedure

Hier zijn strengere eisen aan gesteld, zodat je er goed aan doet een duidelijk en uniform stappenplan te lanceren bij vermoeden of kennisname van een datalek.

8. Ga na bij een bewerkersovereenkomst of je aan de vereisten uit de nieuwe wetgeving voldoet

Zo niet, pas de overeenkomst dan tijdig aan waar nodig.

9. Bij meerdere vestigingen in meerdere EU-lidstaten en/of gegevensverwerkingen in meerdere lidstaten is nog maar één privacytoezichthouder nodig                                        

Wanneer dit geldt voor jouw organisatie, bepaal dan onder welke leidende privacytoezichthouder je bedrijf valt.                                 

10. Evalueer de wijze waarop je toestemming vraagt, krijgt en registreert  

De nieuwe wet verplicht je aan te tonen dat je geldige toestemming van mensen hebt gekregen om hun persoonsgegevens te verwerken. Ook moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

Bookazine Hack

 

 

Versnel je business
met data en
bestel HACK,
het bookazine van Sprout!

Volg ons ook op Twitter en Facebook

Tips? Mail redactie@sprout.nl