https://www.youtube.com/watch?v=wu8cHGUxE6M&lc=z22mwngpara3hfvrx04t1aokg2vnssaxdwn1rfbp2vxfbk0h00410.1525350468226816

 

Ik had de eer om samen met Annic ten Duis haar eerste businessvideo op te nemen na haar zwangerschaps- en bevallingsverlof!
Zij heeft mij hiervoor gevraagd omdat ze natuurlijk zelf ook moet voldoen aan de nieuwe privacywet, oftewel de Algemene Verordening Gegevensbescherming (AVG) en omdat ze graag haar volgers goed wil informeren.

Mijn verhaal heb ik algemeen gehouden. Het is onmogelijk om alle verplichtingen in een korte video weer te geven. Bovendien is iedere bedrijfsvoering uniek, wat maakt dat je weer aan andere zaken moet voldoen. Zo kan het ook nog voorkomen dat jij vanwege je beroep bijzondere persoonsgegevens of gevoelige informatie verwerkt, of heb je meer dan 250 medewerkers. Wees je daarvan bewust en check het desnoods even bij een jurist die bekend is met de verplichtingen rondom de AVG.

De tips die ik deel, geven wel meteen een goed beeld van wat de AVG nu eigenlijk voorschrijft.

Hieronder mijn 5 tips:

 

  1. Doe een quick-scan van welke persoonsgegevens je nu eigenlijk verwerkt;

    Wat is dan eigenlijk een ‘persoonsgegeven’: dat gaat om een gegeven wat herleidbaar is tot één natuurlijk persoon. Dus denk aan een naam, adres, telefoonnummer of geboortedatum. In principe vallen zakelijk gegevens dus niet onder de AVG.

    Verder moet je de gegevens zonder onevenredige inspanning kunnen vaststellen. Een kenteken is daarom voor de meeste mensen geen persoonsgegeven omdat het niet zonder onevenredige inspanning herleidbaar is tot één persoon. Voor de RDW geldt dit weer wel.

    Anonieme gegevens behoren  niet tot de AVG omdat deze niet herleidbaar zijn naar één persoon. Ook gegevens van overledenen vallen niet onder de werking van de AVG, omdat de AVG alleen ziet op gegevens van natuurlijke personen.
    Daarnaast kent de wet wel het begrip pseudo-anonieme gegevens. Dit is namelijk herleidbaar, weliswaar niet voor iedereen (denk aan.

    Verder mag je in principe ook geen bijzondere persoonsgegevens verwerken. Voorbeelden hiervan zijn bijvoorbeeld ras, politieke voorkeur, etnische afkomst, religieuze achtergrond en gezondheidsgegevens. Alleen de uitzonderingen die de wet voorschrijft, zijn een reden om deze gegevens alsnog te mogen verwerken of je moet hiervoor toestemming krijgen van betrokkene.

    Als je alle gegevens in kaart hebt gebracht, zul je onder andere moeten bepalen welke doelen de gegevensverwerking hebben, op basis van welke grondslag je dit doet, hoe lang je de gegevens bewaart. Houd in je achterhoofd dat je niet meer gegevens mag verzamelen dan noodzakelijk (‘minimale gegevensverwerking’).

  2. Bepaal of je persoonsgegevens deelt met anderen (derden);

    Denk hierbij aan een boekhouder, administratiekantoor, Visual Assistant, Personal Assistant, hostingpartij, Google Analytics of nieuwsbriefsysteemaanbieder. Sluit met hen verwerkersovereenkomsten af. Grote partijen hebben ze op de plank liggen dus vraag ze op. Maar je bent te allen tijde zelf verantwoordelijk, dus heeft een partij ze niet, zorg dan dat je zelf een overeenkomst hebt die je kunt aanbieden.

     

     

  3. Zorg ervoor dat je de persoonsgegevens die jij verwerkt, adequaat en passend beveiligt;

    Beveiligen doe je tegen bijvoorbeeld misbruik, verlies, diefstal, onbevoegde toegang etc. Denk aan versleuteling van je website, gebruiken van sterke wachtwoorden, vergrendelen van je devices. Zorg ervoor dat áls je een datalek hebt, dit meldt bij de Autoriteit Persoonsgegevens, de privacywaakhond van Nederland.

  4. Doe je aan e-mailmarketing of maak je gebruik van nieuwsbrieven, regel dan toestemming;

    Zonder toestemming (opt-in) mag je niet mensen zomaar op je mailinglist zetten. Ook mag je niet iedereen zonder meer bestoken met marketingmails. De uitzondering op de regel is dat je bestaande klanten wel mag mailen met marketingdoeleinden. Dit is toegestaan als het gaat om:
    – vergelijkbare producten of diensten;
    – en men moet altijd de mogelijkheid hebben om je gemakkelijk uit te schrijven.

  5. Stel een privacyverklaring op;

    In een privacyverklaring informeer je alle betrokkenen over onder andere (degenen over wie je persoonsgegevens verwerkt of kan verwerken):
    – welke persoonsgegevens je verwerkt;
    – met welk doel;
    – met welke grondslag;
    – voor welke duur;
    – met welke derden je gegevens verwerkt;
    – welke rechten betrokkenen allemaal hebben;
    – de beveiligingsmaatregelen;
    – de identiteit van jouw bedrijf;
    – vermelding van de verantwoordelijke;
    – geautomatiseerde gegevensverwerking (profilering).

    Tot slot, de Autoriteit Persoonsgegevens heeft op basis van de AVG meer bevoegdheden gekregen. Er kunnen corrigerende maatregelen worden toegepast, maar ook hoge boetes worden opgelegd, als je niet kunt aantonen dat je voldoet aan de wet.

    Het is echt onnodig en hartstikke zonde om buikpijn te hebben, slapeloze nachten of nog erger: je bedrijf aan de wilgen te hangen. Als je alles goed regelt, is er niets aan de hand!