Nieuwe privacywetgeving AVG vraagt actie van (vrijwel) elke organisatie!

Sabine Straver 18 april 2018

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) een feit. Deze nieuwe privacywet geeft personen meer privacyrechten en organisaties meer verantwoordelijkheden. Dat laatste geldt ook voor organisaties binnen het MKB. Elke organisatie die persoonsgegevens verwerkt valt onder de werking van de AVG. Persoonsgegevens zijn gegevens die (direct of indirect) te herleiden zijn tot een specifiek individu, denk aan: NAWTE-gegevens, zakelijke contactgegevens, leeftijd, geslacht, bankgegevens, maar ook foto’s, videobeelden en IP-adressen. De nieuwe privacywetgeving ziet niet alleen toe op digitale gegevens, maar ook gegevens op papier.

De Autoriteit Persoonsgegevens (“AP”) houdt toezicht op de naleving van de privacywet en kan hoge geldboetes uitdelen. Daarnaast zorgt een datalek voor de nodige negatieve aandacht en kan het imagoschade opleveren. Genoeg reden om goed voorbereid te zijn op de AVG. DMCC helpt je 5 stappen in de goede richting.

Stap 1: Documenteer alle systemen, aanwezige data en stel bewaartermijnen vast

Breng allereerst in kaart welke categorieën gegevens er binnen jouw organisatie aanwezig zijn. Dat kan je het eenvoudigst doen aan de hand van alle systemen en (web)applicaties die je in gebruik hebt. Bedenk vervolgens waarvoor je deze gegevens nodig hebt. Heb je de gegevens vastgelegd om uitvoering te geven aan de bestaande klantrelatie of voor marketingdoeleinden? Waarvoor bewaar je de gegevens nog? Is dat vanwege de fiscale bewaarplicht, uit het oogpunt van klachtenafhandeling of onverhoopte juridische onenigheid? Probeer je database(s) op te schonen en vervolgens opgeruimd te houden door het vaststellen van passende bewaartermijnen.

Stap 2: Breng in kaart met welke partijen je gegevens uitwisselt/deelt en waarom

Ga vervolgens na binnen welke bedrijfsprocessen er data wordt uitgewisseld of gedeeld met derde partijen. Bedenk ook waarom die data-uitwisseling plaatsvindt? Verkrijgt deze partij gegevens bij de uitvoering van haar dienstverlening (HRM, ICT, Marketing) aan jullie organisatie? Dan is deze partij een zogenaamde verwerker. Maak passende afspraken met verwerkers over de omgang met de data, de bewaartermijnen en hoe te handelen in het geval van een datalek. Leg dit contractueel vast.

Mijndomein verwerkt bij de uitoefening van haar diensten persoonsgegevens ten behoeve van haar klanten als verwerker en heeft recentelijk een nieuwe bijlage aan haar algemene voorwaarden toegevoegd met de voorwaarden van deze gegevensverwerking.

Stap 3: Bedenk wat je gaat (en moet) doen in geval van een datalek

Organisaties zijn verplicht om een protocol datalekken te hebben, zodat zij in staat zijn tijdig te voldoen aan de Meldplicht Datalekken. Ernstige datalekken moeten namelijk binnen 72 uur na het ontdekken daarvan, gemeld worden aan de AP. Denk bij ernstig aan een lek met veel of hele gevoelige data. Naast de meldplicht hebben organisaties een protocolplicht. Alle beveiligingsincidenten moeten intern geregistreerd worden met daarbij de genomen afwegingen, melden of niet en waarom niet. De verloren smartphone, een verkeerd verzonden bericht (verkeerde ontvanger) en de e-mail met ontvangers in de CC in plaats van de BCC, betreffen ook beveiligingsincidenten. Het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger was in 2017 het meest voorkomende type datalek. Zorg ervoor dat je medewerkers weten waar én dat zij (ook) dit type incidenten dienen te melden.

Stap 4: Informeer je medewerkers over de nieuwe privacywetgeving

Stap 4 ligt in het verlengde van de vorige stap, het creëren van bewustwording. Zorg ervoor dat de relevante mensen in je organisatie op de hoogte zijn van de nieuwe privacyregels. Zo voorkom je ook dat onwetende medewerkers op onveilige wijze gegevens verspreiden. De AP biedt instrumenten die organisaties kunnen helpen om de nieuwe privacywetgeving na te leven: hulpbijprivacy.nl en de AVG-regelhulp. Het gericht trainen en instrueren van je personeel op het gebied van privacy en data security kan ook door middel van het aanbieden van e-learnings of workshops.

Stap 5: Informeer je klanten

Last but not least. Het belangrijkste uitgangspunt van de AVG is transparantie. Organisaties dienen open en eerlijk te zijn over de gegevens die zij vastleggen en waarom. Dit gebeurt doorgaans in een privacy statement. Daarin leg je (kort gezegd) uit wat je verzamelt, hoe en waarom. Mijndomein doet dat ook. De gegevens die je als organisatie noodzakelijkerwijs nodig hebt voor de uitoefening van je dienstverlening mag je verzamelen zonder toestemming. Voor het toesturen van nieuwsbrieven via de e-mail of het vastleggen van (privacy)gevoelige gegevens is vaak toestemming nodig. Zorg dat de verkregen toestemming voldoende specifiek is, zodat voor je klant duidelijk is waarvoor toestemming wordt gegeven. Zorg ook dat de toestemming (te allen tijde) weer in te trekken is.

Na het doorlopen van de bovengenoemde 5 stappen ben je als organisatie niet 100% privacy compliant. Wel heb je als organisatie met deze 5 stappen een goede basis voor de nieuwe privacywetgeving. Benieuwd naar de volgende stappen die je kunt zetten? Of zou je graag hulp krijgen bij het doorlopen van bovengenoemde stappen? Schroom niet om contact op te nemen. DMCC helpt je graag op weg.




Sabine Straver

Sabine Straver

Sabine Straver is privacy consultant bij DMCC Nederland. In deze functie is zij verantwoordelijk voor het adviseren en begeleiden van opdrachtgevers uit velerlei maatschappelijke sectoren op het gebied van privacy- telecommunicatie-, en consumentenrecht. Hierbij ligt haar focus op de praktische vertaalslag van wetgeving, jurisprudentie en zelfreguleringscodes naar de praktijk.

Reageer op dit artikel

26 Reacties op "Nieuwe privacywetgeving AVG vraagt actie van (vrijwel) elke organisatie!"

avatar
  Subscribe  
Abonneren op
Erik Dijkman
Gast

Helder overzicht Sabine!

Zelf zijn we met Rocket Digital de afgelopen maanden ook druk bezig om ons voor te bereiden op de AVG. Ondanks dat het een kostbaar en uitdagend project is, geeft het je wel veel (nieuwe) inzichten en voldoening.

Vanuit onze ervaring kan ik ondernemers adviseren om ook voor je website een AVG-stappenplan te maken. Raadpleeg ons blog als je hier benieuwd naar bent.

Leo Poortman
Gast

Wij hebben een eenvoudige toneelgroep ….. vallen wij hier ook onder ?

Hans
Gast
Hans

Hi Leo. Dat is het punt van de AVG. Elke organisatie valt eronder. Jouw ‘eenvoudige toneelgroep’ ook. Het belang van de uitwisseling (verwerking) van data ligt op de grens van je organisatie: hoe ga je met informatie van je leden om, waarom heb je informatie nodig en hoe en waarom deel je informatie met derden – Sabine heeft dat helder uit de doeken gedaan. Nooit overdrijven, wel altijd serieus aanpakken.

Sabine Straver
Gast
Sabine Straver
Dag Leo. De AVG is inderdaad van toepassing op elke verwerking van persoonsgegevens. De ledenadministratie van een toneelgroep (ongeacht de omvang) bevat waarschijnlijk ook persoonsgegevens. Ook een toneelgroep dient rekening te houden met de AVG. Zoals Hans terecht opmerkt, hoef je dit niet te overdrijven. Het belangrijkste is dat je zicht hebt op de gegevens die je in ‘huis’ hebt. Alleen dan kan je er ook voor zorgen dat die gegevens ‘veilig’ zijn. Bedenk ook eens waarvoor je gegevens (nog) nodig hebt. Is dat vanwege de ledenadministratie of het plannen van een toneelavond/evenement? Wat je niet meer nodig hebt, kun… Lees verder »
Eric Knijpstra
Gast
Eric Knijpstra

Ik verstuur voor mijn winkel een emailing aan mijn klanten via LaPosta. Zij hebben mij op de hoogte gebracht betreft deze privacywetgeving en heb via hen ook een verklaring ondertekend. Kan ik er dan vanuit gaan dat het dan goed geregeld is? Of moet ik zelf (behalve het op de hoogte houden van de klanten) nog meer doen?

Tabitha
Beheerder

Hoi Eric, LaPosta heeft in feite dezelfde rol als Mijndomein als het gaat om de persoonsgegevens van jouw klanten: de rol van verwerker. Op de website van de Autoriteit Persoonsgegevens lees je wat hierin de verplichtingen zijn. Hopelijk kom je daarmee verder! Tabitha
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/verantwoordingsplicht#wat-moet-er-in-een-verwerkersovereenkomst-staan-6344

Sabine Straver
Gast
Sabine Straver

Dag Eric. LaPosta is in deze inderdaad verwerker. Ik begrijp dat je met LaPosta reeds een verwerkersovereenkomst hebt gesloten. Wat je nog meer kunt doen? Checken of de verkregen opt-ins (toestemming) voor het versturen van die mailings voldoen aan de regels. Controleren of je klanten zich ook eenvoudig weer kunnen afmelden voor de mailings. Indien het een webwinkel betreft, plaats je wellicht ook cookies? Ook hiervoor gelden specifieke regels, waarmee je dan rekening dient te houden.

ddd
Gast

Wat gaat mijndomein doen nu dat dit soort gegevens in whois is te vinden ?

Tabitha
Beheerder

Hoi ddd, Mijndomein kan geen aanpassingen doen in de WHOIS. Daar is het ICANN namelijk verantwoordelijk voor. Maar ook zij moeten zich houden aan de AVG-regels: https://www.emerce.nl/nieuws/geen-uitstel-gdpr-icann
Volg je ons al op Facebook of Twitter? Daar hebben we dit bericht van de week al gedeeld 🙂
Tabitha

K aatje
Gast
K aatje

Ik heb een klein hondenuitlaat bedrijfje. Geldt dit ook voor mij?

Tabitha
Beheerder

Hoi K aatje, als jij gegevens van klanten bewaart, dan geldt dit ook voor jou. Het is vooral belangrijk dat je zorgvuldig omgaat met de persoonsgegevens van je klanten. Groet, Tabitha

MP
Gast

Dag Sabine,
Wij hebben als tennisvereniging een eigen Facebook-account waarin foto’s van senioren en junioren en info over onze tennisvereniging worden geplaatst. Hoe moeten wij als tennisvereniging hier formeel mee omgaan in het kader van de AVG?

Sabine Straver
Gast
Sabine Straver
Dag MP. Goede vraag! Ook foto’s zijn herleidbaar tot een persoon en daarmee persoonsgegevens. Hiervoor gelden zodoende ook de regels uit de AVG. Echter, zoals hierboven al een paar keer is aangehaald, een en ander moet wel werkbaar blijven! In het geval van foto’s gaat het er met name om dat deze niet in verkeerde handen komen én dat de personen die daarop voorkomen hiervan op de hoogte zijn dan wel toestemming hebben gegeven. Bedenk als vereniging dus goed hoe je met deze kwestie wilt omgaan en schrijf dit op in een reglement of clubbeleid (oid). Bespreek met elkaar: Willen… Lees verder »
Jan Mars
Gast

Op wat voor wijze heeft een stichting die aan belangenbehartiging doet te maken met de nieuwe AVG? Ik kan alleen bedenken dat we foto’s van activiteiten (me tmensen) op de website en som sin de hah-bladen zetten.

Sabine Straver
Gast
Sabine Straver

Dag Jan. Jouw vraag lijkt veel op de vraag van MP hierboven. Ik verwijs je graag naar het gegeven antwoord onder zijn vraag.

Kees Jacobs
Gast
Ik heb een website via Mijn Domein, gemaakt met Websitemaker. – In hoeverre ben ik verantwoordelijk voor het cookiebeleid? Moet ik dit duidelijk maken naar mijn websitebezoeker? – ik heb een contactpagina met ‘invulformulier’. Wat wordt er aan informatie bewaard als de websitebezoeker dit formulier invult? Moet ik de bezoeker hiervoor informeren? – moet ik met Mijn Domein een verwerkersovereenkomst sluiten omdat de wesite met Websitemaker gemaakt is; mijn Domein de hosting in handen heeft (volgens mij) en dus informatie via Mijn Domein verwerkt? – in hoeverre kan ik de veiligheid garanderen van de informatie die via de website ‘binnenkomt’?… Lees verder »
Tabitha
Beheerder
Hoi Kees, een deel van je vragen kan ik alvast beantwoorden: 1. Je bent zelf verantwoordelijk voor je cookiebeleid en het is goed e.e.a. over privacy en cookies te vermelden op je website. Wij doen dat zo: https://www.mijndomein.nl/over-mijndomein/privacy 2. Over de verwerkersovereenkomst met Mijndomein: wij hebben ervoor gekozen om een bijlage aan onze algemene voorwaarden te voegen waarin we duidelijke afspraken hebben vastgelegd over dit onderwerp. Als je jouw product aanschaft, ga je akkoord met onze algemene voorwaarden. Daarmee geef je toestemming en dat is voldoende als verwerkersovereenkomst. 3. Websitemaker heeft standaard SSL. Is dat bij jou nog niet het… Lees verder »
Frido
Gast
Als ik het goed begrijp gaat het bij de “verwerkersovereenkomst” over persoonsgegevens van bezoekers/gebruikers van websites gehost door Mijndomein. Bezoekers aan mijn website sturen bij ieder bezoek automatisch hun IP-adres en bijvoorbeeld user-agent naar Mijndomein en als ze reageren via een contactformulier of via e-mail sturen ze eveneens persoonsgegevens via Mijndomein. Wat doet Mijndomein met die gegevens, hoe lang slaat Mijndmein die op, welke gegevens zijn het precies, en hoe handelt Mijndomein in het geval van een datalek? Ik begrijp dat ik mijn bezoekers daar op z’n minst over moet informeren. Heeft Mijndomein een pagina waar ik bezoekers van mijn… Lees verder »
Tabitha
Beheerder

Hoi Frido, heb je ook al gekeken op onze helpdesk? https://helpdesk.mijndomein.nl/hc/nl/articles/360000265485-Privacywet-AVG-GDPR-
Tabitha

Frido
Gast

Hallo Tabitha, dank voor de reactie. Ja, ik heb die pagina bekeken, en na een aantal keren doorklikken kom ik in de “algemene voorwaarden in ambtelijke taal” inderdaad de genoemde bijlage “Addendum Gegevensverwerking ( Bijlage AV )” van ruim 4 A4-tjes tegen die specifiek gaat over wat de “verwerkersovereenkomst” voor Mijndomein en jullie klanten inhoudt. Maar ik vroeg me af of jullie ook een wat gebruiksvriendelijker samenvatting in “gewone taal” beschikbaar hadden, zoals jullie die ook beschikbaar hebben voor jullie rol als “verwerkersverantwoordelijke”.

Tabitha
Beheerder
Hoi Frido, wij zijn verwerker voor de gegevens die je met ons deelt in onze producten, bijvoorbeeld via webhosting en e-mail. Voor deze diensten ben je zelf de verwerkersverantwoordelijke. Dat betekent dat jij dus verantwoordelijk bent voor de gegevens die bezoekers van je website bijvoorbeeld achterlaten in een contactformulier en andere persoonsgegevens die jouw klanten bij jou achterlaten. Als verwerker houden we ons aan de geldende wet- en regelgeving. Dit kun je ook aan jouw klanten doorgeven. Zo communiceren wij ook onze samenwerking met verwerkers. De precieze invulling van het addendum hebben we niet in ‘gewone taal’. Heb je specifieke… Lees verder »
Anja
Gast

Ik heb op mijn website nu een slotje staan, een code die ze in moeten voeren bij het contactformulier. Ik heb een verwijzing naar mijn algemene voorwaarden en de privacyregeling staan. Moeten er nu ook nog cookies geplaatst worden of is dit niet nodig?

Tabitha
Beheerder

Hoi Anja, alleen als je cookies gebruikt op je website, moet je dat melden. Gebruik je geen cookies, dan hoef je daar ook niets over te zeggen. Groet, Tabitha

Haba
Gast

Goede middag. Ik blog via punt.nl ik heb dus geen bedrijf en ben geen organisatie. Ik heb eigenlijk geen idee wat ik nu met mijn blog moet doen. Bij andere blogs, bv via blogspot zie ik wel waarschuwingen maar hoe kom ik aan zo’n officieel balkje? En is dat nu verplicht?

Tabitha
Beheerder

Hoi Haba, als jij persoonsgegevens verwerkt op je website van anderen, dan geldt deze wet voor jou. Persoonsgegevens zijn gegevens die (direct of indirect) te herleiden zijn tot een specifiek individu, denk aan: NAWTE-gegevens, zakelijke contactgegevens, leeftijd, geslacht, bankgegevens, maar ook foto’s, videobeelden en IP-adressen. Groet, Tabitha



Uitgelicht