Vaak denkt men bij MKB-organisaties of ondernemingen waarvan het verwerken van data niet de ‘core business’ is, dat de AVG niet op hen van toepassing is. Of dat ze er met een privacystatement op de website zo ongeveer wel zijn. Dat klopt niet. Alhoewel de verplichtingen onder de AVG goed te overzien zijn, moet er wel iets gebeuren. Hieronder zijn de verplichtingen die voor iedere organisatie gelden op een rij gezet.
Privacy compliant
Uiteindelijk is het een kwestie van compliance. Een onderneming moet eraan voldoen en de eerste stappen zijn vaak het meest lastig.
Ook ZZP-ers moeten overigens aan de vereisten van de AVG voldoen. Voor hen geldt echter meestal dat ze relatief snel en eenvoudig aan de AVG kunnen voldoen.
Organisaties die bijzondere persoonsgegevens verwerken (dat zijn bijvoorbeeld medische gegevens of gegevens over geloof en seksuele geaardheid) moeten rekening houden met hogere eisen die worden gesteld aan beveiliging van deze gegevens. Ook moeten zij eventueel een Functionaris Gegevensbescherming aanstellen en DPIA’s (Data Protection Assessments) uitvoeren. Voor bijzondere persoonsgegevens geldt bovendien in beginsel een verwerkingsverbod, tenzij verwerking uitdrukkelijk is toegestaan.
Vereisten AVG
De privacyregelgeving beoogt organisaties ertoe te bewegen om een verantwoorde omgang met persoonsgegevens in hun bedrijfsvoering te verankeren. Dat kan op veel manieren. Maar hoe die verantwoorde omgang met persoonsgegevens ook wordt vormgegeven binnen een organisatie, de AVG vereist in ieder geval dat voldaan wordt aan onderstaande formele verplichtingen.
Wat moet een MKB-organisatie in ieder geval doen?
- Privacy awareness creëren.
Dat wil zeggen dat alle medewerkers die met persoonsgegevens werken, weten wat ze wel en niet met die gegevens mogen doen en dat medewerkers weten waar ze een vermoeden van een datalek intern moeten melden. - Datalekken tijdig melden.
Voor de snelheid van de afhandeling van datalekken helpt het enorm als de organisatie een datalekprocedure heeft en de medewerkers weten waar ze een datalek intern moeten melden. Medewerkers die verantwoordelijk zijn voor het melden van een datalek bij de Autoriteit Persoonsgegevens moeten weten hoe ze een datalek kunnen melden en aan de hand van welke criteria ze een datalek moeten beoordelen. Of ze moeten weten welke externe partij ze in kunnen schakelen voor advies over een mogelijk datalek en de verdere stappen. - Een datalekregister bijhouden.
Alle datalekken moeten in een register worden opgenomen. Daarbij gaat het niet alleen om de datalekken die moeten worden gemeld, maar ook om datalekken die niet hoeven te worden gemeld. - Een verwerkingsregister opstellen.
Alle niet-incidentele verwerkingen moeten worden opgenomen in een verwerkingsregister. De Autoriteit Persoonsgegevens heeft enige tijd geleden een aantal aanbevelingen gedaan ter vergroting van de bruikbaarheid van dit register. - Een privacybeleid opstellen.
- Voldoen aan de informatieplicht.
Het voldoen aan de informatieplicht betekent dat de organisatie informatie moet verstrekken over wat ze met persoonsgegevens doet, wat de vernietigingstermijn is, waar een klacht kan worden ingediend over de omgang met persoonsgegevens, etc. Dit kan onder andere worden gedaan middels een privacystatement op de website. De informatieplicht gaat echter verder dan alleen informatie aan bezoekers van de website: ook medewerkers, abonnees en leden etc. hebben recht op informatie. - Verwerkersovereenkomsten sluiten met verwerkers (of met verwerkingsverantwoordelijken).
Denk daarbij aan verwerkersovereenkomsten met een externe salarisadministrateur of een Cloud-provider. Als sprake is van gezamenlijke verwerkingsverantwoordelijkheid dan moeten de wederzijdse verplichtingen ook in een overeenkomst worden opgenomen. - Een loket openstellen (bijvoorbeeld via een e-mailadres en een postadres) waar betrokkenen (data-subjecten) vragen kunnen stellen over de omgang met hun persoonsgegevens en waar ze verzoeken kunnen indienen.
Op basis van de AVG hebben betrokkenen recht op inzage, rectificatie, vergetelheid, beperking van de verwerking en dataportabiliteit. - Het hebben van passende technische en organisatorische beveiligingsmaatregelen.
Wat passend is hangt af van de soort persoonsgegevens die worden verwerkt, de aard, omvang en context van de verwerking van persoonsgegevens en de risico’s voor betrokkenen. Daarnaast mag rekening worden gehouden met de stand van de techniek en de uitvoeringskosten. Onder dit punt valt ook het op orde hebben van de autorisatieschema’s (wie mag bij welke persoonsgegevens). - Het registreren/vastleggen van de “toestemming” op basis waarvan mogelijk een aantal verwerkingen plaatsvinden. Denk aan de verzending van nieuwsbrieven e.d.
Onder bepaalde voorwaarden moet een organisatie daarnaast een Functionaris Gegevensbescherming aanwijzen en DPIA’s (Data Protection Impact Assessments) uitvoeren. Dit geldt echter voor de meeste MKB-organisaties niet.
Uiteindelijke doel
Uiteindelijk is het doel dat de organisatie “in control” is met betrekking tot de verwerking van persoonsgegevens. Dat vraagt ook van de organisatie dat bij de ontwikkeling van nieuwe producten of het starten van nieuwe verwerkingen vanaf het begin rekening wordt gehouden met de bescherming van persoonsgegevens.
Het lijkt op het eerste gezicht grotendeels maatwerk, maar onze ervaring is dat organisaties toch vaak best op elkaar lijken als het gaat om de verwerking van persoonsgegevens. Als u vragen heeft over wat de AVG van uw organisatie vraagt, of als wij u kunnen assisteren met het opstellen van een stappenplan om uw organisatie “privacy compliant” te maken, neemt u dan contact op met het privacy team van Clairfort via privacy@clairfort.nl of 030 30 75 465.
Neem contact op