Ben jij een jaar na de invoering al AVG-proof?

Sinds 25 mei 2018 is de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG) van toepassing. 
 
Elke MKB-er moest nagaan of, en in welke mate, zij voldoet aan de AVG. We zetten alles nog even op een rijtje voor je.
 
Waarom is privacy steeds vaker in het nieuws?
Voordat er wordt ingegaan op de belangrijkste thema’s uit de AVG, wordt kort geschetst waarom privacy de laatste tijd steeds belangrijker lijkt te worden. Misschien weet je het nog. In mei 2017 vond er een uitbraak van ransomware plaats, WannaCry genaamd. Meer dan 230.000 computers in 150 landen, waaronder Nederland, waren gegijzeld door een stukje software die alle bestanden op je computer versleutelde. Om je bestanden terug te krijgen moest je 300 tot 600 dollar losgeld betalen. Een 17-jarige brak in bij de KPN voor de fun, omdat het kon en de bedrijfsvoering van de gemeente Amstelveen lag plat door een virus. Phishing mails vanuit zogenaamde grote bedrijven zijn gewoon geworden, 3 Friese gemeenten werden het slachtoffer van ransomware en Exact Online heeft de wachtwoorden van alle gebruikers moeten resetten vanwege een datalek. Dat zijn maar een paar voorbeelden van de duizenden pogingen tot hacken die er dagelijks worden gedaan vanuit de hele wereld. Hackers vormen een toenemend en reëel gevaar voor de digitale snelweg, de economie en dus ook individuele MKB ondernemers. Pogingen tot het hacken van ondernemers wordt gedaan, omdat de hackers een statement willen maken, het gewoon leuk vinden of om geld los te krijgen. Maar niet altijd wordt ondernemers om geld gevraagd. Zij bezitten namelijk nog een ander kostbaar goed: persoonsgegevens. Met persoonsgegevens kunnen kwaadwillenden bankrekeningen leeghalen, betalingen doen, identiteitsfraude plegen, identiteitsbewijzen verkopen, enz. Persoonsgegevens moeten in het belang van ons allemaal dus goed worden beschermd door ondernemers die ze bewaren.
 
Is AVG wel op mij van toepassing?
De AVG is een Europese verorderning die de huidige privacywetgeving, de Wet bescherming persoonsgegevens (Wbp) vervangt. De Wbp bestaat dus niet meer. De term GDPR kom je misschien ook wel eens tegen. Dat is de AVG, maar dan de Engelse vertalen; General Data Protection Regulation. Bijna elke ondernemer bewaart klantgegevens; zoals naam, adres, telefoonnummer, e-mailadres. Maar ook hebben veel ondernemers een website met zogenaamde trackers. Denk hierbij aan bedrijven die webstatistieken verzamelen. Google Analytics, Hotjar, Facebook Connect verzamelen met trackers waardevolle informatie over het surfgedrag bezoekers van websites. Zij combineren dit weer met de informatie van het websitebezoek aan andere sites waarop ook trackers zijn geïnstalleerd. Sommige ondernemers hebben daarnaast ook nog extra gevoelige of bijzondere informatie. Denk hierbij aan financiële informatie (salarisadministratie), het Burgerservicenummer, kopieën van ID-bewijzen en natuurlijk gegevens over de gezondheid van medewerkers (ziekteverzuim, reintegratie). Kortom, je verwerkt zeer waarschijnlijk persoonsgegevens en dus is de AVG ook op jou van toepassing en zul je stappen moeten nemen hier aan te gaan voldoen.
 
Wat het concreet inhoudt!
De AVG eigenlijk in te delen in 8 belangrijke thema’s (zie afbeelding). Deze thema’s bieden een heldere structuur waarmee je aan de slag kunt gaan om grip te krijgen op de AVG. Deze thema’s laten de grootste veranderingen zien ten opzichte van de huidige Wet bescherming persoonsgegevens. Tevens zijn het vanuit het oogpunt van financieel en reputatierisico de meest risicovolle thema’s.
 

Hieronder wordt kort ingegaan op deze thema’s en wat het voor jouw als MKB ondernemer kan betekenen. Eerst wordt er ingegaan op de drie thema’s die de Autoriteit Persoonsgegevens op dit moment het belangrijkste vindt: thema 1, 2 en 7.
 
De top 3 zaken die direct van belang zijn!
De Autoriteit Persoonsgegevens vindt het belangrijk dat je:
Iemand verantwoordelijk maakt voor privacy;
De datastromen vastlegt in een register;
De personen van wie je persoonsgegevens verwerkt goed informeert.
Inrichting privacy organisatie: Als ondernemer zul je de verantwoordelijkheden voor privacy moeten passend moeten beleggen. Dit betekent dat je iemand moet aanwijzen die verantwoordelijk is voor privacy. Sommige organisaties zullen een zogenaamde Functionaris voor Gegevensbescherming (FG) moeten aanstellen. Voor veel MKB ondernemers zal dit niet het geval zijn, omdat zij niet heel veel bijzondere persoonsgegevens verwerken. Ook al hoef je geen FG aan te stellen, het is dus wel verstandig iemand verantwoordelijk te maken voor privacy binnen je organisatie.
Inzicht in verwerkingen en grondslagen: Als ondernemer mag je alleen persoonsgegevens verwerken als dat volgens de AVG ook mag. Je zult dus in kaart moeten brengen welke persoonsgegevens je bijhoudt, voor welke doel je deze bijhoudt, waar deze vandaan komen en met wie deze worden gedeeld. Dit moet je vastleggen in een zogenaamd ‘register van verwerkingsactiviteiten’. Op deze verplichting bestaat een uitzondering voor MKB ondernemers (minder dan 250 werknemers). Maar let op, dit geldt alleen voor verwerkingen die je incidenteel doet, dus bijvoorbeeld voor een kortdurend project. Voor al je structurele verwerkingen zul je dus gewoon een register moeten aanleggen.
Rechten van betrokkenen: De organisatie moet processen inrichten zodat personen, van wie de organisatie (bijzondere) persoonsgegevens verwerkt, hun rechten die zij onder de AVG hebben gekregen (o.a. recht op inzage, correctie en verwijdering) kunnen uitoefenen. Ook zul je mensen tijdig en begrijpelijk moeten informeren over wat je met hun gegevens doet. Bijvoorbeeld door middel van een goed privacy statement op je website.
 
Wat er verder belangrijk is!
Naast deze drie thema’s, zijn er nog 5 andere thema’s die belangrijk zijn.
Verantwoordelijke en verwerker: Maak met organisatie die gegevens voor jouw verwerken (de salarisadministrateur, de CRM-leverancier, de webhoster) afspraken over hoe er met de gegevens wordt omgegaan. Zorg ook dat je een proces hebt ingericht om beveiligingsincidenten en datalekken te registreren en waar nodig melding hiervan te maken aan de Autoriteit Persoonsgegevens.
Privacy Impact Assessment: Voor een risicoanalyse uit op verwerkingen met een hoog risico. Bij risicovolle verwerkingen kun je denken aan processen binnen je organisatie waar veel gevoelige informatie wordt gebruikt, bijvoorbeeld bij HRM-processen en Marketing en Sales. Een PIA uitvoeren betekent eigenlijk dat je met een privacy bril op kijkt naar deze processen en vaststelt of je nog extra maatregelen kunt nemen om de privacy te beschermen.
Beveiliging: Zorg dat je de systemen waarin persoonsgegevens zitten op een passend niveau worden beveiligd en test en evalueert de beveiliging periodiek. Ook zul je informatiebeveiligingsbeleid en beveiligingsprocessen moeten vastleggen. 
Privacy by Design / Default: Als je een nieuwe website, app of applicatie laat ontwikkelen moet je er voor zorgen dat je al rekening houdt met de privacyaspecten. De instellingen op de website, de app of de applicatie moeten dusdanig ingesteld zijn dat maximale privacy wordt geborgd.
Privacy Cultuur: Je kunt als organisatie nog zo goed alles op papier hebben staan, je medewerkers moeten wel weten hoe zij met persoonsgegevens moeten omgaan. Zij moeten: weten wat een datalek is en dit kunnen melden, zich bewust zijn van de risico’s van wifi-hotspots, weten dat het vergrendelen van hun computer belangrijk is en dat ‘Welkom001’ niet een sterk wachtwoord is. Kortom, aandacht besteden aan en medewerkers bewust maken van het belang van privacy is essentieel.
 
Tot slot
De implementatie van de AVG vraagt om een pragmatische, risico gebaseerde en multidisciplinaire aanpak. Privacy gaat immers niet uitsluitend over de implementatie en borging van wet- en regelgeving, maar óók over het creëren van een cultuur waarin medewerkers handelen in de geest van de wet- en regelgeving. De privacy volwassenheid van de organisatie wordt immers mede bepaald door de mate waarin medewerkers zich bewust zijn van de regels rondom privacy en de manier waarop zij daar invulling aan geven in de praktijk. Naast kennis over wet- en regelgeving en cultuur, is kennis van informatiebeveiliging natuurlijk onontbeerlijk. Zonder passende technische en organisatorische maatregelen worden persoonsgegevens niet voldoende beschermd.
Voordat je met de AVG aan de slag gaat, onthoudt dan het volgende: ‘Rome wasn’t built in a day’. De implementatie van (nieuwe) wet- en regelgeving is niet in één dag geregeld en een goede borging is nodig is voor een blijvend resultaat. Kortom, ga gewoon aan de slag om de eerste stappen te zetten en zorg dat je de komende jaren blijvend aandacht hebt voor privacy.