020 2 141 009

Last-minute tips om ervoor te zorgen dat je GDPR/AVG helemaal op orde is

Over minder dan twee weken treedt de nieuwe privacywetgeving in werking. Op 25 mei moeten alle bedrijven én ZPP’ers voldoen aan de regels van de nieuwe Europese privacywetgeving. En hoewel de wet al een jaar geleden is aangekondigd loopt de spanning nu toch wel een beetje op. Begrijpelijk, want er wordt nogal wat gevraagd van ondernemers. We helpen je met last-minute zodat je kunt zorgen dat je GDPR/AVG helemaal op orde is.

Nog even een opfrissertje:
Vanaf 25 mei 2018 is de nieuwe privacywet van kracht. De wet, die schuil gaat onder de Nederlandse afkorting AVG (de Algemene Verordening Gegevensbescherming) en de Europese GDPR (General Data Protection Regulation), focust zich vooral op het beschermen van persoonsgegevens en legt daarbij de verantwoordelijkheid én bewijslast bij de bedrijven neer (ja, ook ZZP’ers worden in dit geval als bedrijf gezien). Hier leggen we uit wat er precies gaat veranderen. Dat is nogal wat om in 11 dagen te regelen, maar zeker niet onmogelijk. We helpen je met de laatste (of eerste) loodjes.

Last-minute tips om ervoor te zorgen dat je GDPR/AVG helemaal op orde is:

1. Inlezen

Hoewel de tijd nu toch echt begint te dringen, is het de moeite waard om je goed in te lezen in alle regels en plichten van de GDPR. Een goede basiskennis van de nieuwe privacyregels zorgt ervoor dat je goed kunt inschatten wat jouw bedrijf nodig heeft en gemakkelijker actie kunt ondernemen. Hier kun je bijvoorbeeld lezen wat de nieuwe privacyregels precies inhouden en hier kun je de belangrijkste punten uit GDPR/AVG terugvinden.

2. Overzicht gegevensverwerkingen

Als je weet welke rechten de nieuwe wetgeving met zich meebrengt, is het tijd voor de volgende stap: een overzicht maken van de gegevensverwerkingen binnen jouw bedrijf. Maak een overzicht waaruit blijkt welke persoonsgegevens je bedrijf verwerkt, waarom dit wordt gedaan (bijvoorbeeld om spullen te verzenden of om informatieve mails te versturen) en documenteer ook met welke bedrijven deze gegevens eventueel worden gedeeld. Bij de nieuwe regels is het namelijk zo dat de bewijsplicht bij jou ligt. Jij moet bewijzen dat je goed omgaat met persoonsgegevens en dat kun je alleen bewijzen door alles van begin tot eind schriftelijk vast te leggen.

3. Bepaal of je een functionaris moet aanstellen

Volgens de nieuwe privacyregels zijn sommige organisaties verplicht een functionaris voor de gegevensbescherming aan te stellen. Dit is bij overheidsinstanties en publieke organisaties verplicht. Maar ook als jouw bedrijf voornamelijk individuen ‘volgt’ (bijvoorbeeld bij cameratoezicht of het monitoren van iemands gezondheid via zogenoemde wearables ) of op grote schaal persoonsgegevens verwerkt als een van de belangrijkste taken, is het aanstellen van een functionaris verplicht.

4. Bepaal of je een DPIA moet uitvoeren

DPIA staat voor Data protection impact assessment. Hiermee kunnen vooraf de risico’s worden gemeten die de gegevensverwerkingen met zich meebrengen. Zo kan er effectief op worden ingespeeld met maatregelen die de risico’s kunnen verkleinen. Hoewel elke organisatie een DPIA mág uitvoeren, is het voor sommige een plicht. Evalueert jouw bedrijf systematisch en uitvoerig persoonlijke aspecten, verwerkt het op grote schaal bijzondere persoonsgegevens of volgt het op grote schaal en systematisch mensen in een publiek toegankelijke gebied (bijvoorbeeld door cameratoezicht)? Dan is de kans groot dat jouw bedrijf een DPIA moet uitvoeren om aan de GDPR/AVG te kunnen voldoen. Twijfel je? Bekijk hier die lijst met álle gevallen waarbij een DPIA is verplicht.

5. Vraag toestemming

Dit is een belangrijk punt, aangezien je enkele bestaande structuren in je bedrijf zal moeten aanpassen om aan de nieuwe wet te voldoen. Om persoonsgegevens te mogen verwerken en gebruiken, moet je vanaf 25 mei namelijk expliciet toestemming hebben van de persoon in kwestie. Dit betekent dat je die toestemming vóór 25 mei moet verkrijgen en daar op zeer korte termijn actief achteraan moet gaan (als je dat niet al hebt gedaan natuurlijk). Bij de nieuwe GDPR/AVG moeten bedrijven zelf kunnen aantonen dat er toestemming is verkregen. Gelukkig kun je de verkregen toestemmingen gemakkelijk verwerken in Excel zoals we hier eerder uitlegden.

6. Schakel hulp in

Wellicht heb je alles op orde of ben je er al bijna. Dat is geweldig, aangezien de wet nogal wat vraagt van bedrijven. Vooral kleinere bedrijven en ZZP’ers schijnen er volgens verschillende berichtgevingen moeite mee te hebben. Mocht dit bij u het geval zijn, wacht dan niet tot de Autoriteit Persoonsgegevens actie tegen je onderneemt. De boetes kunnen namelijk oplopen tot wel 20 miljoen euro of 4 procent van de jaaromzet. Schakel daarom op tijd hulp in om ervoor te zorgen dat alles, maar dan ook echt alles, vóór 25 mei op orde is. Optimoose kan je helpen hierbij, stuur een bericht of bel even en vraag naar de mogelijkheden.

Kortom:

1. Lees goed over wat de wet precies inhoudt;

2 Maak een overzicht met verwerkingen van persoonsgegevens;

3. Bepaal of je een functionaris moet aanstellen;

4. Bepaal of je een DPIA moet uitvoeren;

5. Vraag toestemming;

6. Schakel hulp in.

 

Wil je nog meer lezen over de nieuwe privacywet en online marketing? Dat kan op onze blog.