English
AVG - niks doen is geen optie!
De Algemene Verordening Persoonsgegevens, oftewel de AVG (in het Engels GDPR, dat staat voor General Data Protection Regulation) staat al een tijdje op je to-do lijstje maar je hebt er nog niets mee gedaan of bent er nog mee bezig… en nu?
Dan is het zaak om te beginnen! Er helemaal niets mee doen is simpelweg geen optie. Hoewel je wellicht denkt “bah, wat een wet- en regelgeving weer” of “kost alleen maar tijd, wat een onzin” toch raden we aan ermee aan de slag te gaan!
De AVG hoe zat het ook alweer?
Sinds mei 2018 is de AVG officieel in werking getreden. Het is een verordening, dat wil zeggen dat deze wet-/ regelgeving vanuit Europa is opgelegd. De AVG komt voort uit de vroegere Wet Bescherming Persoonsgegevens (WbP). Een groot verschil met de WbP is dat de AVG Europees is vastgesteld en dat de verantwoordelijkheid voor het verwerken van persoonsgegevens verschoven is naar organisaties (en niet meer bij het individu ligt).
We zijn inmiddels bijna een jaar verder, maar er is nog steeds veel te doen over de AVG. Het raakt namelijk vrijwel iedereen én daarbij komt dat de boetes niet misselijk zijn! De Autoriteit Persoonsgegevens (AP) kan een boete opleggen van maximaal 20 miljoen euro of een boete van 4% van de wereldwijde jaaromzet. Natuurlijk, hebben we twee jaar de tijd gehad om ons klaar te stomen voor de AVG, maar in de praktijk blijkt dat het voor heel veel organisaties toch last-minute werk is geweest. Is dit raar? Nee, ik denk het niet, de impact is groot, zeker wanneer de organisatie wat kleiner is. En trouwens tot op het moment van schrijven heeft een overheidsorgaan als de belastingdienst haar zaken ook nog niet op orde!
In deze blog vind je tips om aan de slag te gaan met het AVG.
Waar gaat de AVG over?
Samengevat gaat de AVG over het vastleggen van hoe je als organisatie met persoonsgegevens omgaat. Er mag geen onduidelijkheid zijn over welke gegevens/ informatie je van een persoon hebt geregistreerd en wat je daarmee doet. In principe is het daarom ook helemaal niet verkeerd, de grote jongens (Facebook, Google, etc.) hebben nu eenmaal veel, heel veel, informatie over ons… het is fijn dat daar zorgvuldig mee omgegaan moet worden. Echter is de AVG niet alleen voor de grote jongens, maar geldt deze net zo zeer (op exact dezelfde wijze) voor een ZZP-er.
Onze ervaring is ook dat wanneer je ermee aan de slag gaat het op zich helemaal geen rigoureuze veranderingen met zich mee brengt (heel veel zaken zijn simpelweg gewoon heel logisch en gebeurde eigenlijk al). Alleen moet het nu allemaal vastgelegd worden.
Wat wordt er van mij verwacht?
Vaak is er simpelweg een hoop onduidelijk aangaande de AVG. Dit maakt dat het als ‘best wel veel werk’ ervaren wordt. Toch moeten er een aantal zaken met betrekking tot het hebben van persoonsgegevens (die elke organisatie heeft) gewoon op orde zijn. Om het overzichtelijk te houden de meest belangrijke zaken.
Aanstellen van een Functionaris Gegevensbescherming
Binnen elke organisatie (ongeacht de grootte) moet er een functionaris gegevens bescherming aangesteld zijn. Oftewel, een FG. Dit hoeft niet per definitie een fulltime job te zijn (zeker niet bij de kleinere organisaties), maar dit is wel de persoon die binnen het bedrijf bekend is met deze verordening en de termen en het aanspreekpunt is in het geval er actie ondernomen moet worden (bijvoorbeeld wanneer er een datalek heeft plaatsgevonden).
Opstellen van een verwerkingsregister
In een verwerkingsregister zouden alle plekken (systemen, software, bedrijfsonderdelen) moeten staan waar persoonsgegevens in staan. Hiermee ontstaat er een volledig overzicht van welke persoonsgegevens er in de organisatie van toepassing zijn. Dit kan best een hele klus zijn. Advies is daarom: begin met de belangrijkste. Mocht je niet alles in één keer erin krijgen, geen probleem. Maar zorg wel dat de meest belangrijke er als eerste in gezet worden. Persoonsgegevens van medewerkers (salarisadministratie) kan daar een voorbeeld van zijn. De wet is vormvrij, dat betekent dat je dit prima in een Excel bestand mag bijhouden.
Verwerkersovereenkomst
Naast het verwerkingsregister moet er ook een verwerkersovereenkomst zijn tussen jouw organisatie en je leveranciers en tussen jouw organisatie en je klanten. Ook deze overeenkomst is (net als het verwerkingsregister) vormvrij. De manier waarop je dit vastlegt is dus geheel naar eigen inzicht. In een verwerkersovereenkomst leg je vast welke persoonsgegevens je verwerkt en op welke wijze je daar mee omgaat.
Ik heb al wel iets gedaan, maar nog niet klaar… en nu?
Super! Zoals eerder aangegeven, beginnen is het belangrijkste! Wanneer er een FG (Functionaris Gegevensbescherming) is aangesteld, maak dan met enige frequentie tijd vrij om het verder af te maken. Zijn alle verwerkingsovereenkomsten nog niet binnen? Prioriteer dan welke het meeste van belang zijn en ga daar achteraan. Je verwerkingsregister nog niet compleet? Maak een lijst met alleen de onderdelen die erin moeten komen te staan en neem een paar momenten per jaar om ze stuk voor stuk te completeren. Ook is het jaarlijks actualiseren van je AVG document aan te bevelen. Het opstellen van een actielijst met een deadline en verantwoordelijke kan enorm helpen.
Tot slot
De AVG is sinds mei vorig jaar een feit. Dat de belastingdienst haar zaken nog niet op orde heeft is (helaas) geen excuus om het te laten rusten. We hebben er simpelweg mee te dealen. Heb je het op orde?! Super! Zet je maar alvast schrap voor de e-PV (e-Privacy Verordening) die op de agenda staat… Met name voor marketingbureaus een heel ingrijpende. Deze wet is er nog niet doorheen, maar wanneer er nieuws is komen we daar snel op terug!
Ben je nog niet begonnen om je organisatie AVG Compliant te maken? Vraag dan ons stappenplan aan en maak je organisatie AVG compliant! Zoek je naar ondersteuning en hulp bij de implementatie? We bespreken graag de mogelijkheden voor een workshop (op locatie of bij ons op kantoor). Neem gerust contact met ons op!
Pieter van Woerden
Algemeen directeur