Op 25 mei 2018 gaat een nieuwe wet in: de Algemene Verordening Gegevensbescherming (AVG). Deze wet vervangt de huidige Wet bescherming persoonsgegevens en gaat over het verwerken van persoonsgegevens en dus privacy. Wat betekent dit voor jou als ondernemer?
Je hoeft niet meteen in paniek te raken, maar er zijn toch echt wel een aantal zaken die je aandacht vragen. Er lag al een hoop vast in de Wet bescherming persoonsgegevens, maar in de Algemene Verordening Gegevensbescherming zitten een aantal wijzigingen en aanvullingen.
Dit moet je geregeld hebben voor de Algemene Verordening Gegevensbescherming
Er is een hoop te doen om de AVG. Ja, het geldt voor iedere ondernemer en je moet zeker zorgen dat alles in orde is voor 25 mei 2018, maar een hoop heb je als het goed is al geregeld. Even voor de zekerheid op een rijtje waar je nu (nog steeds) aan moet voldoen:
• je moet een privacyverklaring hebben (eenvoudiger en uitgebreider dan voorheen), waarin je uitlegt hoe en waarom je persoonsgegevens verwerkt;
• direct melding maken in het geval van een datalek, wat dus ook geldt als je je laptop vergeet in de tram;
• de persoonsgegevens sla je veilig op;
• je gaat extra voorzichtig om met medische gegevens, gegevens over ras, seksuele geaardheid, geloofsovertuiging, politieke voorkeur en het seksuele leven;
• persoonsgegevens verwerk je pas als je toestemming hebt of als het doel rechtmatig is;
• de bewerkersovereenkomst die je al moest hebben met partijen die persoonsgegevens voor jou opslaan of verwerken, verandert nu in een verwerkersovereenkomst waarbij de verwerker meer verplichtingen heeft.
Oké. En verder?
Wat verandert is dat ook zakelijke gegevens die naar een specifiek persoon leiden nu onder persoonsgegevens vallen. Daarnaast moet je ervoor zorgen dat je een intern privacy-beleid hebt, zodat je – als je de Autoriteit Persoonsgegevens op bezoek krijgt – kan aantonen dat je alles volgens de regels doet.
Sommige ondernemingen moeten ook een verwerkingsregister bijhouden. Heb jij een onderneming met meer dan 250 medewerkers, verwerk je grote hoeveelheden persoonsgegevens of doe je dit structureel? Of is het verwerken van de gegevens een risico voor de persoon van wie de gegevens zijn of gaat het om bijzondere, gevoelige of strafrechtelijke gegevens? Dan moet je het verwerkingsregister bijhouden. In dit register vind je terug welke persoonsgegevens je opslaat, wat je ermee doet, welke partijen of personen toegang hebben tot de gegevens en hoe je ze beveiligt.
Verder krijgen de personen waarvan je de gegevens verwerkt en beschermd meer rechten. Zij hebben nu recht op:
• inzage
• wijziging
• het vergeten van de gegevens
• het overdragen van de gegevens
• informatie
Dit geldt voor veel ondernemingen niet, maar als je bijvoorbeeld een marketingorganisatie bent die profielen maakt of locaties traceert, dan heb je een Functionaris Gegevensbescherming nodig. Deze functionaris is onafhankelijk en let erop dat je de persoonsgegevens goed verwerkt en beschermt.
Wat moet je nu doen voor de Algemene Verordening Gegevensbescherming?
Organisaties krijgen nu meer verantwoordelijkheden. Ga bij je eigen onderneming na hoe het met jouw gegevensverwerking zit. Wat sla je op, waar, hoe, door wie, waarom, wanneer? Vervolgens kijk je of je je privacyverklaring moet laten bijwerken, of je verwerkersovereenkomst in orde is en of je je data goed genoeg beveiligt. Zorg ervoor dat je alles voor 25 mei 2018 geregeld hebt. Waar je vroeger nog een waarschuwing kreeg, krijg je tegenwoordig zonder pardon een boete van de Autoriteit Persoonsgegevens als je niet aan de wet voldoet. De boete is niet mals, want het kan oplopen tot €10 miljoen of 2 procent van je jaaromzet als je de processen of procedures niet goed uitvoert. Voldoe je niet aan de informatieplicht, verwerk je de gegevens niet zorgvuldig of ga je ergens anders de mist in, dan is de boete zomaar €20 miljoen of 4 procent van je omzet.