Ondernemers en managers maar ook de voorzitter van een sportclub: allemaal moeten zij zich voorbereiden op de nieuwe privacywet (officieel de Algemene verordening gegevensbescherming, AVG) die op 25 mei ingaat. Maar wat moet je nu eigenlijk minimaal op orde hebben? Speciaal voor iedereen die nog niet klaar is, hebben we deze grote privacy-checklist.
Vanaf 25 mei moeten ondernemers toestemming vragen als ze data van consumenten opslaan. En meer delen over wat ze met die gegevens doen. De EU wil namelijk dat persoonlijke gegevens van burgers beter beschermd worden.
"De oude wet stamt uit midden jaren negentig. Toen bestond internet nog maar net. En Google en Facebook waren er nog niet. Data gaan tegenwoordig de grens over, de regels moeten daarop aansluiten", legt Paul Breitbarth, privacy-expert bij Nymity, uit waarom de nieuwe wet nodig is.
Het betekent dat elke ondernemer, van zzp'er tot een techreus of de lokale sportclub, zijn data-zaakjes op orde moet hebben. "Bedrijven moeten aantonen dat zij zich aan de wet houden", zegt de Autoriteit Persoonsgegevens. De instantie controleert de naleving van de wet en kan flinke boetes uitdelen.
Kijk terug: De Grote Privacyshow, alles over de nieuwe privacywet:
Inzicht en overzicht
Welke verplichtingen er voor jou gelden? Het begint allemaal met het krijgen van inzicht en overzicht. "Wat ik vooral tegenkom is een verkeerd begrip van wat de wet inhoudt", zegt Marie-José Bonthuis van adviesbureau Its Privacy. "De AVG is maatwerk, er wordt altijd per geval bekeken wat een passende oplossing is."
Volgens de jurist is de eerste stap daarom in kaart brengen welke gegevens je verwerkt en welke verantwoordelijkheid je hebt. Wat bewaar je en waarom? Hoe beveilig je die data en hoe lang sla je het op? Vervolgens kun je beter overzien welke maatregelen je moet treffen. Bewaar je gegevens bijvoorbeeld te lang? Gooi ze dan zoveel mogelijk weg.
Maak een register
De AVG vraagt van bedrijven dat ze zich verantwoorden voor het feit dat ze zich houden aan de nieuwe wet. Vrijwel alle ondernemers moeten daarom een (online) register bijhouden, waarin staat wat je met welke persoonsgegevens doet. Het register kan ook nodig zijn als een klant bijvoorbeeld wil weten met wie zijn gegevens zijn gedeeld.
Ondernemer Roham Rahimi van AttachingIT moet bijvoorbeeld inzicht geven in de vragen die klanten stellen bij de klantenservice. Ook het feit dat hij gegevens opslaat van mensen die een proefversie van zijn e-maildienst gebruiken moet helder zijn, zei hij tijdens De Grote Privacyshow. "Ook al zijn we relatief klein, we moeten laten zien wat we verwerken."
Documenteer datalekken
Vallen persoonsgegevens in de verkeerde handen? Het melden van een datalek is verplicht. Dat was al zo onder de oude wet, maar de regels voor registratie zijn strikter geworden onder de AVG. Documenteer alle voorvallen, van hackers tot het verzenden van e-mails naar veel zichtbare geadresseerden. Melden kan bij het meldloket datalekken.
"Ik zie hier wederom veel onbegrip", zegt Bonthuis. "Veel ondernemers zijn bang om een datalek te melden, terwijl er juist een boete staat op het niet melden van lekken. Dus niet op het datalek zelf."
Doe de stresstest: de data protection impact assessment
Sommige bedrijven zijn verplicht om stresstests uit te voeren, de zogenoemde data protection impact assessment. Hiermee breng je in kaart hoe risicovol jouw manier van verwerking van persoonsgegevens is. De stresstest is alleen verplicht als er een hoog privacyrisico is, bijvoorbeeld bij bedrijven die op grote schaal persoonsgegevens verwerken.
Er zijn ook bedrijven die je kunt inhuren om een stresstest te laten doen, volgens de Autoriteit Persoonsgegevens is de test namelijk geen eenmalig ding, maar iets dat je moet bijhouden. Is er sprake van een hoog risico? Dan moet je je beleid aanpassen en mogelijk overleggen met de autoriteit.
De functionaris voor de gegevensbescherming
Vanaf 25 mei kun je verplicht zijn om een functionaris voor de gegevensbescherming aan te stellen: iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Dit geldt in elk geval voor overheidsinstanties.
Ook organisaties die op grote schaal personen natrekken moeten een functionaris hebben. Dat zijn bijvoorbeeld hypotheekverstrekkers die een financiële check doen of bedrijven die iemands gezondheid in kaart brengen.
Medische bedrijven hebben andere verantwoordelijkheden dan andere ondernemers, omdat ze werken met gevoelige data. "Zij moeten specifieker vertellen wie er bij welke data mag en een functionaris inhuren", zegt Bonthuis. "Dit kost geld, maar is ook de moeite waard. Want doe je het fout dan kan het je je imago kosten."
Verwerk de nieuwe privacyrechten in je beleid
Onder de nieuwe wet worden bestaande privacyrechten van burgers gehandhaafd, zoals de rechten op inzage, correctie en verwijdering. Maar er komen ook nieuwe bij, zoals het recht op dataportabiliteit. De ondernemer moet dan zorgen dat klanten hun gegevens makkelijk kunnen verkrijgen en doorgeven aan andere bedrijven.
Zorg er daarom voor dat de nieuwe rechten goed verwerkt worden in je (nieuwe) privacybeleid. Bouw je bijvoorbeeld profielen op, dan moeten klanten deze kunnen laten verwijderen als ze dat willen. Ook moet er vaker toestemming worden gevraagd voor het gebruiken van data.
Privacy by design
Als je nieuwe producten ontwikkelt waar persoonsgegevens bij betrokken zijn, zorg dan dat je vanaf het begin al rekening houdt met die nieuwe privacyregels. Privacy by design heet dat. Het houdt onder meer in dat je niet meer gegevens verzamelt dan nodig en deze niet te lang bewaart.
De AVG wil daarnaast dat bedrijven uitgaan van het principe privacy by default: bedrijven moeten ervoor zorgen dat ze technische maatregelen nemen, zodat alleen die gegevens worden verwerkt die strikt noodzakelijk zijn. Het betekent bijvoorbeeld dat makers van apps de optie 'ja ik wil aanbiedingen ontvangen' standaard uitschakelen.
De verwerkersovereenkomst
Besteed je (een deel) van de verwerking van je gegevens uit aan een derde partij, bijvoorbeeld je personeelsadministratie, dan moet je nagaan of het contract dat je hebt met deze partij nog aan de regels voldoet. De AVG stelt specifieke eisen aan de zogenoemde verwerkersovereenkomsten.
Dit kan een pittig juridisch klusje zijn, waar veel bedrijven extra expertise voor inhuren. Volgens Bonthuis is het hier belangrijk om eerst goed in kaart te brengen welke organisatie verantwoordelijk is voor welk deel van de data, 'pas dan kun je kijken welk contract erbij past'.
Bewustwording in je organisatie
De Autoriteit persoonsgegevens hamert erop: zorg ervoor dat de juiste mensen in jouw organisatie op de hoogte zijn van de nieuwe regels. Zij moeten immers het beleid doorvoeren en dit kan behoorlijk wat tijd kosten.
Recent klaagden een aantal ondernemers al over de administratieve rompslomp die de AVG met zich meebrengt. Dus kom maar door met die brainstormsessies en vergaderingen.
Het sluitstuk: update je privacyverklaring
"De privacyverklaring is het sluitstuk van je privacybeleid", zegt Bonthuis. "Het weerspiegelt waar jij als organisatie voor staat en hoe je handelt. Dit is het document dat de Autoriteit Persoonsgegevens gebruikt om te kijken of je nakomt wat je belooft."
Kortom, het is zaak om voldoende aandacht te besteden aan je verklaring. Vaak gebeurt dat met behulp van een expert. "Er kunnen altijd dingen naar boven borrelen die niet kloppen", weet ook ondernemer Rahimi. Maak je beleid daarom waterdicht met een goede verklaring.
