Blog

“Voorbereiden op de AVG: Geen paniek, maar neem het wel serieus”

Door NU.nl ben ik gevraagd waar ondernemers op moeten letten wanneer ze zich voorbereiden op de AVG, de nieuwe Europese privacywet (de Algemene Verordening Gegevensbescherming, ook wel bekend als de GDPR). Deze Europees overkoepelende wet wordt 25 mei 2018 van kracht. Het valt mij op dat er veel onduidelijkheid heerst over de AVG. En dat is niet altijd terecht: de AVG is niet compleet nieuw: Europese lidstaten hebben nu nog eigen wetten op basis van een Europese richtlijn. De AVG neemt een groot aantal verschillen tussen die wetten weg, maar blijft uitgaan van dezelfde privacybeginselen. De grootste verandering is ‘slechts’ dat organisaties die persoonsgegevens verwerken (en dat is zo goed als iedere onderneming) een verantwoordingsplicht. Je moet kunnen aantonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen. Maar eigenlijk is ook dat niet nieuw.

voorbereiden op de AVG

Waarop moet je letten?

NU.nl heeft mij gevraagd waarop ondernemers moeten letten wanneer ze zich voorbereiden op de AVG:

Overzicht

Advocaat Wouter Dammers van de organisatie LAWFOX is gespecialiseerd in internetrecht. Volgens hem is het voor ondernemers vooral belangrijk om overzicht te krijgen. ”Breng de situatie in kaart alsof het je financiële administratie is”, tipt de advocaat. ”Waar vooral naar gekeken gaat worden, is dat je je gegevens goed op orde hebt. Je moet kunnen aantonen dat je het goed geregeld hebt.”

Waar je daarbij vooral op moet letten, is dat je organisatie in overeenstemming werkt met wettelijke privacybeginselen. ”De verwerking van persoonsgegevens moet aan duidelijke doelen gebonden zijn”, legt Dammers uit. ”Als je bijvoorbeeld de gegevens van klanten bijhoudt, dan moet je kunnen uitleggen welk doel je daar bij hebt. Dat doel kan gewoon zijn dat je contact met ze kunt opnemen.”

Stappen

Voor het op orde brengen van je organisatie moet je verschillende stappen doorlopen. Eerst breng je dus in kaart welke privégegevens er zoal in jouw organisatie bewaard worden en maak je daar een soort inventaris van. Vervolgens moet je twee verschillende trajecten doorlopen.

”Er is een intern verwerkingsregister waarin je precies moet bijhouden welke gegevens je bewaart en met welk doel”, zegt Dammers. ”Je moet daarin de bewaartermijn aangeven, vertellen aan wie je de gegevens verstrekt en of dat alleen binnen Europa is of ook daarbuiten.”

Het tweede traject is dat je een aantoonbaar privacybeleid moet hebben. ”Je moet degene van wie je gegevens bewaart, bijvoorbeeld je klant, informeren wat je van hem weet en wat je ermee doet.” Houd er daarbij rekening mee dat de klant in de nieuwe wet echt koning is: hij krijgt het recht op inzage en verwijdering, maar ook op dataportabiliteit. Dat is het recht om data op te vragen en door te geven aan andere organisaties.

Uiteraard gelden daarnaast ook andere verplichtingen om aan te tonen dat je de juiste organisatorische en technische maatregelen hebt genomen. Wat nu als je bij het voorbereiden op de AVG merkt dat je daaraan niet voldoet?

Sancties

Op het overtreden van de AVG staan fikse straffen. Het kan ondernemers 4 procent van hun jaaromzet kosten als ze hun zaken niet op orde hebben. Hoe reëel is het gevaar dat ondernemers echt met torenhoge boetes geconfronteerd gaan worden? Advocaat Wouter Dammers denkt dat dat wel meevalt. ”Je bent pas het haasje als je onder het vergrootglas ligt. De Autoriteit Persoonsgegevens (AP) heeft een beperkte capaciteit en heeft zijn handen al vol aan Facebook en Google. Een kleine mkb’er zal niet meteen de klos zijn.”

Daarmee zeg ik echter niet dat je niet hoeft te voldoen aan de AVG als je geen Facebook of Google bent. Iedere organisatie die persoonsgegevens verwerkt moet voldoen aan de AVG en loopt het risico op handhaving door de AVG, of aansprakelijkstelling door verwerkers, verwerkingsverantwoordelijken en/of betrokkenen. Maar je kunt compliance met de AVG beter opportunistisch aanpakken: als je voldoet aan de AVG, dan kan dat ook een voordeelspositie opleveren ten opzichte van je concurrenten. Immers, verwerkingsverantwoordelijken mogen in principe niet werken met verwerkers die niet voldoen aan de AVG. En ook vice versa zijn er risico’s. Dus beter dat je de boel om orde hebt!

De AVG wordt vaak gezien als een ingewikkelde wet, maar dat valt best mee:

Spannender

Niet in paniek raken, maar er wel werk van maken, dat lijkt het devies voor ondernemers. Want zo veel nieuws is er nu ook weer niet onder de zon, benadrukt advocaat Dammers. ”Accountants maken het iets spannender dan het is. Volgens de Wet bescherming persoonsgegevens moet je al zorgvuldig met de privacy omgaan; de AVG brengt de verplichting mee het meer op schrift te stellen en er verantwoording over af te leggen.”

Aan de andere kant: als je er tot nu toe nog helemaal niet over hebt nagedacht en je gaat nu pas beginnen met het doorlopen van alle stappen, dan zal je de deadline van 25 mei waarschijnlijk niet halen, zegt Dammers. ”Je moet er wel een paar dagen echt voor gaan zitten.”

Voorbereiden op de AVG

Kortom: je goed voorbereiden op de AVG is het halve werk. En laat je daarbij niet gek maken. Niet door beunhazen die plots privacyspecialist zijn (het zijn er veel), niet door onjuiste berichtgeving, en zeker niet door de datum 25 mei: liever te laat alles op orde, dan helemaal niet.

Lees het volledige artikel hier.

Gerelateerde berichten