Iedere onderneming of organisatie krijgt er op een manier mee te maken: persoonsgegevens en de Algemene Verordening Gegevensbescherming (AVG). Wat minder duidelijk is, is wat er nu allemaal nodig is om aan de verplichtingen te voldoen. Want wie zijn zaken niet op orde heeft, kan op straf van de Autoriteit Persoonsgegevens (AP) rekenen. De praktijk wijst uit dat de AP ook steeds meer haar pijlen richt op het MKB. Daarbij geeft de AP zeker niet altijd eerst een waarschuwing, maar heeft zij inmiddels diverse keren al (naar verhouding) forse boetes uitgedeeld. Mede afhankelijk van de omvang van de onderneming, varieert dit van enkele duizenden tot honderdduizenden euro’s. Hieronder zetten wij uiteen wat u (doorgaans) minimaal van de AVG moet hebben.
A. Verwerkingsregister
Veelal zult u gegevens verwerken van uw (contactpersonen van) klanten of opdrachtgevers. Maar denk ook aan gegevens van personeel of bezoekers van de website. Al deze gegevensstromen moet u vastleggen in een verwerkingsregister. Daarin moet bijvoorbeeld opgenomen staan welke gegevens worden verwerkt, met welk doel, met wie ze gedeeld worden en hoelang ze worden bewaard. Hoewel de AVG uitzonderingen kent, is in de praktijk vrijwel iedere onderneming verplicht een verwerkingsregister bij te houden. Alleen organisaties die incidenteel gegevens verwerken, hoeven deze niet te registreren.
B. Externe privacy verklaring
Zodra u weet welke gegevensstromen er binnen uw onderneming zijn, is de volgende stap om alle betrokkenen op de juiste manier te informeren. De AVG legt u namelijk een informatieverplichting op, wanneer u persoonsgegevens verwerkt. Deze plicht houdt in dat u betrokkenen – klanten, relaties, werknemers – informeert over wat u met persoonsgegevens doet en waarom. Veelgebruikt middel hiervoor is een privacyverklaring op de website, waarin u uitlegt welke persoonsgegevens u verzamelt en waarom.
C. Datalekkenregister
Een datalek ligt in het huidige tijdperk (helaas) al snel op de loer. Los van dat het verstandig is om data binnen de organisatie goed te beschermen, brengt de AVG ook hier verplichtingen met zich mee. Zo dient iedere onderneming inbreuken in verband met persoonsgegevens te registeren in een intern document, het datalekkenregister. Daarin moet onder meer worden vastgelegd wat de inbreuk inhield, wat er met de gegevens is gebeurd en welke maatregelen er na de inbreuk genomen zijn. Een datalek moet je vervolgens ook melden bij de AP, tenzij er slechts een laag risico voor de betrokkenen is. In sommige situaties, moeten ook de betrokken zelf worden geïnformeerd.
D. Verwerkersovereenkomsten
Wanneer u persoonsgegevens aan een derde partij verschaft en deze partij voor u iets met de persoonsgegevens doet, moet u met deze partij een verwerkersovereenkomst sluiten. De externe salarisadministratie is een klassiek voorbeeld van een situatie waarin dit nodig is. In de verwerkersovereenkomst moeten de verplichtingen tussen partijen over en weer worden vastgelegd. De partij die het doel en de middelen van de verwerking vaststelt, is de verantwoordelijke. De partij die enkel de feitelijke verwerking uitvoert, is vervolgens de verwerker. U blijft te allen tijde echter wel verantwoordelijk voor de verwerker die u uitkiest.
E. Intern Privacybeleid
Wanneer dit passend is vanwege de verwerkingsactiviteiten, moet u ook een intern privacybeleid opstellen. Om te beoordelen of dit noodzakelijk is, moet u kijken naar de aard, de omvang, de context en het doel van de gegevensverwerkingen die u uitvoert. Ook als het niet verplicht is, kan het echter raadzaam zijn een intern beleid op te stellen. Zo is voor alle medewerkers - en eventueel de toezichthouder – duidelijk welke stappen door u genomen worden om aan de AVG te voldoen.
F. Gegevensbeschermingseffectbeoordeling (DPIA)
Meest onbekend is mogelijk dat de AVG u verplicht in bepaalde gevallen een DPIA uit te voeren, alvorens u met een verwerking van start gaat. In gevallen waarbij een gegevensverwerking een hoog risico oplevert, bijvoorbeeld door de aard en omvang van de data, moet u deze beoordeling vooraf maken. Het is de bedoeling dat uit de beoordeling privacyrisico’s naar voren komen en u zo in staat wordt gesteld om maatregelen te nemen en risico’s te verkleinen.
Tot slot
Hierboven hebben we een kort overzicht gegeven van documenten en informatie die u in de meeste gevallen verplicht moet hebben onder de AVG. Heeft u verdere vragen over deze onderwerpen of heeft u hulp nodig met het opstellen hiervan? Neem dan contact op met Sebastiaan van Wijk via vanwijk@dayonelegal.nl
