25 mei 2018. De datum waar zakelijk Nederland naar toe leeft! Wat hebben we er zin in. Echt? Nee natuurlijk niet, geen enkele MKB-ondernemer zit echt op de dag te wachten dat de nieuwe privacywetgeving, Algemene Verordening Gegevensverwerking (AVG), ingaat. Maar elke MKB-ondernemer krijgt wel met deze nieuwe regels te maken. Praktisch ieder bedrijf verwerkt persoonsgegevens en moet nu en in de toekomst voldoen aan de privacyregels, ongeacht of er één, tien of meer dan 250 medewerkers in dienst zijn.
De huidige privacywetgeving, de Wet bescherming persoonsgegevens (Wbp), vereist al veel van ondernemers maar met de nieuwe wetgeving AVG zullen de verplichtingen alleen maar toenemen. Enkele van de belangrijkste wijzigingen zullen we hieronder bespreken.
Privacyreglement
Het privacyreglement, het document waarin je uitlegt aan je klanten wat je doet met hun persoonlijke gegevens, moet nog duidelijker zijn. In begrijpelijke taal moet je precies en volledig uitleggen wat je doet met de persoonlijke gegevens. Ook moet je in dit reglement vertellen wat de rechten van de klanten zijn, bijvoorbeeld dat ze gegevens mogen inzien die je van hen hebt of dat ze die gegevens mogen (laten) aanpassen. Daarnaast moet je aangeven wie bij jou verantwoordelijk is en bij wie ze terecht kunnen bij klachten.
Boetes privacywetgeving
De maximale boetes stijgen onder de AVG van de huidige € 900.000 naar € 20 miljoen of 4% van de wereldwijde jaaromzet.
Gegevensbeperking
De gegevens die je van je klanten en/of medewerkers verwerkt moeten beperkt blijven tot de gegevens die je minimaal nodig hebt. Meer gegevens dan je nodig hebt mag je niet verzamelen, verouderde gegevens moet je verwijderen. Hoe je dit alles doet moet je uitwerken in een beleid.
Training medewerkers
Ook je medewerkers moeten weten hoe ze persoonsgegevens moeten behandelen, wanneer er bijvoorbeeld sprake is van een datalek en hoe ze dan op dat moment moeten handelen. Hiervoor is een beleid vereist en de medewerkers moeten op regelmatige momenten training krijgen.
Rechten van klanten
Klanten hebben het recht op inzage in de door jou verwerkte persoonsgegevens, het recht op correctie van die gegevens en op verzoek moeten gegevens verwijderd worden. Zo’n verzoek moet je binnen een maand inhoudelijk afgehandeld hebben. Intern beleid hiervoor is dan ook echt aan te raden.
Datalekprocedure
Naast de huidige verplichtingen bij datalekken, o.a. een procedure hoe te handelen bij een datalek, moet je met ingang van mei 2018 ook alle datalekken en de afhandeling daarvan bijhouden. Een datalekregister is dus een must.
Verwerkersovereenkomsten
Met alle partijen die voor jou persoonsgegevens verwerken moet je afspraken maken over hoe zij omgaan met de persoonsgegevens. Deze afspraken leg je vast in een verwerkersovereenkomst.
Dit zijn enkele van de belangrijkste aandachtspunten voor de nieuwe privacywetgeving. In onze volgende blogs zullen we nog meer aandachtspunten bespreken.
Wil je hulp zodat je ook kunt voldoen aan de privacywetgeving?