AVG ook relevant voor kleine ondernemers

Publicatie datum: 5 maart 2018 14:00
Het hangt als het zwaard van Damocles boven het Europese bedrijfsleven, de AVG. Er zijn veel signalen dat zelfs de Nederlandse overheid niet goed voorbereidt is voor de Europese verordening. Toch is de nieuwste regelgeving ook iets dat kleine ondernemers raakt.


Nieuwe privacy wetgeving


Vorige week nog was een grote gemeente uit Noord Holland in het nieuws met een veiligheidslek. Een tas met persoonlijke gegevens van individuen werd ontvreemd en onbevoegden hebben mogelijk inzage gehad in de documentatie. Dit kon gebeuren doordat processen niet duidelijk zijn en de organisatie geen duidelijk beleid heeft omtrent de omgang met persoonsgegevens. Op 25 mei treedt de nieuwste privacywet in werking, de Algemene Verordening Gegevensbescherming (AVG). Doordat deze verordening op Europees niveau wordt ingevoerd vallen worden de rechten en plichten van bedrijven en particulieren gelijk getrokken binnen de gehele Europese Unie.  

De kern van de AVG is het verwerken van persoonsgegevens en de toestemming die gegeven wordt voor het verwerken daarvan. Persoonsgegevens zijn alle soorten gegevens waarmee een natuurlijk persoon geïdentificeerd kan worden. De AVG is hier heel duidelijk over, alle informatie die bijdraagt aan het identificeren van een persoon is een persoonsgegeven. Het bijhouden van social media likes en het vastleggen van mailadressen van leads en prospects is dus al een verwerking van persoonsgegevens. Ook voor deze verwerking moet vooraf toestemming gegeven zijn door de persoon die het betreft. 


Bedrijven


Bedrijven moeten in voorbereiding op de AVG in kaart brengen hoe de huidige processen lopen en welke persoonsgegevens verwerkt worden. Daaropvolgend is het vaststellen van het doel van de verwerking. Met welke reden worden gegevens verzamelt en opgeslagen? Wie heeft er toegang tot de gegevens en hoelang worden deze bewaard in de systemen? Al deze informatie moet uiteindelijk worden opgenomen in een op stellen verwerkersovereenkomst tussen ondernemingen en relaties. Besteedt je als doel van de opdracht een deel van de werkzaamheden uit? Dan is er sprake van een sub-verwerker, waarvoor en waarmee ook een overeenkomst gesloten moet worden. 

Uitgangsregel in de AVG is dat het verwerken van gegevens moet stroken met de wetgeving. Alleen de persoonsgegevens die noodzakelijk zijn voor het uit te voeren doel mogen verzamelt worden. In de AVG is ook opgenomen dat de verwerking alleen gerechtvaardigd is wanneer hier een grondslag voor is. Er zijn 6 grondslagen waarvan er aan tenminste één moet worden voldaan voordat men gegevens mag verwerken. Toestemming van de klant is dus een rechtvaardiging maar ook het nakomen van een wettelijke verplichting wordt gezien als grondslag. Net als wanneer de verwerking noodzakelijk is om de opdracht uit te kunnen voeren. Een compleet overzicht is hier te vinden. 


Klanten


Voor klanten en afnemers van producten of diensten verandert er veel onder de AVG. Zo bestaat er straks het recht om gegevens in te zien, op te vragen wie er inzicht heeft in persoonsgegevens. Maar ook mag een relatie straks verzoeken om data door te geven naar een nieuwe verwerker. In de AVG is dit opgenomen onder het kopje 'dataportabiliteit.' Tevens bestaat er de mogelijkheid om instanties en bedrijven te verzoeken om gegevens te verwijderen. 

Bedrijven, daaronder vallen dus ook ZZP'ers en MKB'ers, hebben straks dus een grotere plicht om de gegevens van personen beter te beheren. De inrichting die hiervoor noodzakelijk is in de AVG tweeledig weergegeven. De eerste stap is Privacy by Design en betekent dat al bij het ontstaan en inrichten van diensten of producten de gegevensbescherming in acht wordt genomen. Privacy by Default gaat erover dat binnen de organisatie alleen de daadwerkelijk benodigde gegevens verwerkt worden. Hierbij is het van belang dat alle bedrijfsprocessen worden nagelopen. De concepten privacy by default en privacy by design zijn van toepassing op de complete bedrijfsvoering, op de software die gebruikt wordt maar ook de hardware opslag zoals externe servers of USB-sticks. 


Al AVG-Proof?


De AVG is de Nederlandse benaming van de Europese General Data Protection Regulation (GDPR). Elke lidstaat is zelfstandig verantwoordelijk voor de controle en handhaving. In Nederland wordt dit gedaan door de Autoriteit Persoonsgegevens (AP). Voor kleine ondernemers is het vooral de bewustwording dat aandacht vereist. De ingangsdatum komt nu snel dichterbij. Op internet zijn inmiddels veel handvatten te vinden die zeker het MKB verder helpen met het AVG-proof maken van de organisatie. Op de website van de AP staat sinds kort een duidelijk stappenplan. In 10 stappen leggen ze duidelijk uit hoe organisaties zich kunnen voorbereiden op 25 mei. We hebben hier de link voor je toegevoegd. 



Wil je op de hoogte blijven van ander nieuws en belangrijke veranderingen rondom ondernemen? Schrijf dan in op de nieuwsbrief welke om de maand verschijnt. Volg ons op LinkedIn, Facebook en Twitter voor de laatste updates.