Heb jij je al voorbereid? Huysgenoot Danny Mekić over de AVG

Per 25 mei is de nieuwe Algemene verordening gegevensbescherming (AVG) van toepassing. Vanaf die datum is in de hele Europese Unie dezelfde privacywet van kracht. Organisaties dienen hier zich actief op voor te bereiden om hoge boetes te voorkomen. Huysgenoot Danny Mekić beantwoordt enkele vragen en geeft concreet en bruikbaar advies.

Stellingen:

Ik werk bij een klein bedrijf dan is de AVG niet op ons van toepassing.

Hoewel kleine bedrijven vaak het idee hebben dat de privacywetgeving niet op hen van toepassing is of niet zo streng gehandhaafd wordt, is niets minder waar. De Algemene Verordening Gegevensbescherming (AVG) geldt voor álle organisaties die persoonsgegevens verwerken en dus is de AVG óók van toepassing op kleine ondernemingen.

Daarnaast zie je dat toezichthouders steeds strenger en krachtiger gaan optreden, en het zal dus ook vaker voorkomen dat kleine ondernemingen met toezicht en handhaving te maken krijgen. Het is namelijk niet langer voldoende om je zaakjes simpelweg op orde te hebben. En juist kleine ondernemingen moeten aan de slag, omdat zij in het verleden nooit zo over privacywetgeving nagedacht hebben. Het allerbelangrijkste van de AVG is dat ondernemingen actief aan de slag moeten om vooraf te onderbouwen welke gegevens er worden verwerkt, hoe deze worden beschermd en wanneer ze worden verwijderd. Door deze veranderingen is er dus écht werk aan de winkel, ook voor kleine ondernemingen.

We gaan pas actie ondernemen als we een waarschuwing krijgen.

Ik heb slecht nieuws voor ondernemers die denken dat ze weg kunnen komen met een waarschuwing en wachten tot ze een keer de fout in gaan. De nieuwe privacywetgeving is een stuk strakker en strenger geregeld dan de wetten en regels die we tot voor kort kende. Dat betekent dat er hele hoge boetes opgelegd kunnen worden, die een heel groot deel van je omzet kunnen opslokken. Daarom is het uiterst belangrijk dat je als ondernemer preventief in actie komt.

Ook bestaat er sinds 1 januari 2016 een meldplicht. Volgens de meldplicht ‘datalekken’ moet je een incident binnen 72 uur melden en dus ook in actie komen als er iets fout gaat. Hier gaat het om een incident, waarbij er data met persoonsgegevens weglekt. Als je dat niet meldt kunnen boetes het gevolg zijn. Je ziet dat wachten op een waarschuwing een naïeve strategie is. Daarom is het steeds belangrijker om zelf pro-actief en preventief in actie te komen.

Vragen:

Hoe kan ik mij als bedrijf voorbereiden op de nieuwe privacywet: AVG?

Voor de privacywetgeving is het belangrijk dat persoonsgegevens alleen verzameld mogen worden als dat écht noodzakelijk is en als hier toestemming voor wordt gevraagd. Dit betekent dat je voor iedere plek, iedere app, ieder formulier eerst heel goed moet kijken wat de reden is dat die persoonsgegevens daar worden verzameld. Is dit een reden die voor de wet toelaatbaar is en is het strikt noodzakelijk?

De volgende stap is om met collega’s aan de slag te gaan om een compleet overzicht te maken van de manieren waarop persoonsgegevens worden verzameld. Dat kan bijvoorbeeld een online contactformulier zijn, wifi-tracking of een database met informatie van medewerkers en klanten. Ook is het belangrijk om gezamenlijk te kijken naar de wijze waarop deze gegevens verwerkt en opgeslagen worden. Met andere woorden: je moet een privacykaart maken, waarbij je alle persoonsgegevens die naar binnen en naar buiten gaan goed in kaart brengt. Daarbij moeten alle aspecten voldoen aan de wet- en regelgeving.

Wat zullen de grootste struikelblokken zijn voor bedrijven met betrekking tot de nieuwe privacywet: AVG?

De wet- en regelgeving op het gebied van privacy is zo complex dat zelfs algemeen opgeleide juristen er vaak niet uitkomen. Het is belangrijk om met specialisten te werken aan de AVG. Zij weten namelijk precies wat je moet doen om ervoor te zorgen dat je niet alleen aan de wet- en regelgeving voldoet, maar dat je ook de juiste stappen onderneemt om alles op papier te zetten, zodat je kunt aantonen dat je de benodigde inspanningen hebt gedaan om aan de wet- en regelgeving te voldoen voor het geval er een keer iets fout gaat of er een keer een controle komt.

Ook zie ik vaak in de praktijk dat er een sterke focus is voor de juridische- en technische kant van privacy en cybersecurity en dat de menselijke kant vaak vergeten wordt. Dat is reden waarom ik mijn klanten adviseer om er voor te zorgen dat alle medewerkers zich bewust worden van privacyaspecten. Dit kan bijvoorbeeld door lezingen en bijeenkomsten te organiseren, waarbij zowel de wet en de gevaren van cybercrime worden uitgelegd, maar ook de technische-, juridische- en menselijke kant worden toegelicht. Je kunt namelijk nog zo goed met IT’ers en juristen de technische- en juridische kant hebben bekeken en beveiligd, maar de zwakste schakel is heel vaak de mens zelf.

Het kan namelijk heel makkelijk gaan. Je krijgt als medewerker van het bedrijf een telefoontje. Je denkt een collega aan de telefoon te hebben die om persoonsgegevens vraagt. Jij verstrekt die persoonsgegevens uit het beveiligde systeem, terwijl het niet je collega is, maar een buitenstaander die zich als een collega voordeed. Een ander voorbeeld is dat mensen heel makkelijk op links klikken in onbekende emails, waardoor er virussen geïnstalleerd worden. Mensen die USB sticks mee naar huis nemen en in de trein verliezen, waar vervolgens gegevens op staan. Dit zijn voorbeelden waardoor de beveiligde systemen data gaan lekken en daardoor blijft de privacy niet gewaarborgd. Je ziet dus dat er heel vaak een menselijk component meespeelt op het moment dat het fout gaat met persoonsgegevens.

Tijdens mijn lezingen over privacy en cybersecurity adviseer ik opdrachtgevers om het niet alleen bij een lezing te houden. Je moet er vervolgens ook voor zorgen dat medewerkers de week erna een online cursus aangeboden krijgen, waarin ze stapsgewijs leren wat de nieuwe privacyregels inhouden en hoe zij er zelf voor kunnen zorgen dat ze hun werk op een nette legale manier uitvoeren. Een hele gave lezing met daarna wat interactie is een heel mooi startpunt, maar uiteindelijk krijg je pas een blijvende verandering als je een langere tijd samen met je medewerkers aan de slag gaat met nieuwe kennis, routines en nieuwe manieren van werken. Daarom ben ik heel trots dat ik dit jaar al diverse klanten heb mogen helpen om ook online cursussen vorm te geven om de privacybewustzijn binnen organisaties te versterken.

Is er hulp vereist om deze nieuwe privacywet: AVG te implementeren in mijn bedrijf of kan ik dit gemakkelijk zelf?

De AVG introduceert extra rechten voor betrokkenen. Een betrokkene is de persoon wiens persoonsgegevens worden verwerkt. Een van de nieuwe rechten is dat betrokkenen recht krijgen op dataportabiliteit, oftewel het recht om gegevens over te dragen. Dat betekent dat mensen, die toestemming hebben gegeven voor het verstrekken en verwerken van persoonsgegevens aan een organisatie, kunnen vragen om deze data over te dragen aan een andere organisatie. Het tweede recht dat wordt geïntroduceerd is het recht om vergeten te worden. Dit betekent dat ieder persoon een organisatie kan vragen alle gegevens te verwijderen die over hem of haar zijn opgeslagen. Na een dergelijk verzoek mogen er in de database van de organisatie geen verwijzingen meer naar deze persoon te vinden zijn.

Daarnaast hebben betrokkenen ook het recht op informatie. Dit betekent dat mensen van wie hun persoonsgegevens worden verwerkt het recht hebben om geïnformeerd te worden over de verwerking van die persoonsgegevens. Het is erg belangrijk dat die informatie wordt verstrekt en dit kan bijvoorbeeld een privacystatement zijn op een website.

Er zijn een aantal verplichte onderdelen voor die informatie: Allereerst is het belangrijk om te vermelden hoe lang je de gegevens wilt bewaren. Daarnaast moet er verwezen worden naar het recht om de gegevens aan te passen, aan te vullen, te verwijderen en te wijzigen. Ook heeft men het recht om bezwaar te maken tegen de verwerking van de gegevens en mag men de verwerking van de gegevens beperken. Tot slot moeten mensen ook gewezen worden op de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens, de toezichthouder op gebied van privacy. Op het moment dat je gegevens van een persoon verwerkt waarvan de persoon het niet zelf heeft verstrekt, bijvoorbeeld omdat je databases aanschaft bij andere bedrijven, dan moet je ook aangeven waar die gegevens vandaan komen. Wat ook een belangrijk aspect is het aangeven hoe de persoonsgegevens worden verwerkt. Daarmee bedoel ik of de gegevens worden doorgegeven naar ander landen.

Meer informatie over huysgenoot Danny Mekić vind je hier!