Help, de nieuwe privacywet (AVG) gaat 25 mei in. Dan moet je als ondernemers privacy-proof zijn. Maar dat blijkt best ingewikkeld. 5 praktische tips van bedrijven (en de Autoriteit Persoonsgegevens) die al ervaring hebben opgedaan met de nieuwe privacywet.
Tip #1
Aan de slag met de privacywet? Houd het hoofd koel en blijf praktisch
Poeh, zo duidelijk is die Algemene verordening gegevensbescherming (AVG) helemaal niet. Want waar moet je je als ondernemer nou precies aan houden? Het aanstellen van een functionaris gegevensbescherming bijvoorbeeld is verplicht voor overheidsinstanties en zorg- en onderwijsinstellingen, en voor bedrijven die op grote schaal individuen kunnen volgen – denk bijvoorbeeld aan aanbieders van slimme apps en gadgets. ‘Maar de verplichting geldt ook voor organisaties ‘als die voor hun kerntaken stelselmatig en op grote schaal persoonsgegevens verwerken’.
Gaat het om 1.000, 10.000 of 100.000 mensen? Dat blijft onduidelijk’, zegt Alfer de Hollander, manager Legal en de functionaris gegevensbescherming bij Timing Uitzendteam. Het uitzendbedrijf telt ruim 40 vestigingen en 700 vaste medewerkers door heel Nederland. Gegevens mogen volgens de wet niet langer worden bewaard ‘dan nodig’. Maar hoe je dat bepaalt? ‘Eigenlijk moet je gewoon je gezond verstand gebruiken’, zegt De Hollander. ‘Je moet de wet deels zelf invullen en daarbij duidelijk kunnen maken waarom je dat zo doet.’ Voor De Hollander betekent dat bijvoorbeeld: van tevoren een duidelijke schifting maken welke gegevens je wel of niet verwerkt. ‘Van een vijftiger die werk zoekt, bewaren we niet meer een diploma van de mulo.’ Volgens hem kun je een beroep doen op je softwareleveranciers: die weten veel over de AVG. ‘Zij kunnen het systeem aanpassen waardoor veel verwerkingen automatisch en AVG-compliant gaan. Ook belangrijk: onze ict-partners zijn NEN 27001 gecertificeerd. Met andere woorden, ze voldoen aan strenge eisen rondom informatiebeveiliging.’
Even wat handige websites op een rijtje
- Wil je weten wat er precies verandert ten opzichte van de huidige privacywet? Bekijk dan de factsheets van Thuiswinkel.org.
- Wil je weten hoe je je het beste kunt voorbereiden op de nieuwe privacywet? Kijk dan eens naar het tienstappenplan van de Autoriteit Persoonsgegevens.
- Wat moet je precies vastleggen in een verwerkingsregister? Kijk hier.
- Moet ik een privacy impact assessment (laten) doen? Check dat hier.
- Wat is een functionaris voor de gegevensverwerking en moet ik er ook een aanstellen? Kijk hier voor de uitleg en hier voor een snelle check gemaakt door Nederland ICT.
- Heb je een webwinkel? Kijk dan op thuiswinkel.org, maar hier is ook een handige checklist te vinden.
- Heb je een bouwbedrijf? Check dan deze informatie van Bouwend Nederland.
- Voor leden van FME worden bijeenkomsten georganiseerd: check de agenda van FME.
- Winkelier? Bekijk dan de online checklist van Detailhandel Nederland.
- Auto(verhuur)bedrijf? Check dan deze presentatie van BOVAG of doe de quick scan van RAI Vereniging.
- Uitzendbureau? Ook ABU heeft allerlei informatie verzameld: kijk hier maar.
- Reisbureau/organisatie? Check dan deze tool van de ANVR.
- En zo heeft (bijna) elke branchevereniging wel informatie beschikbaar over de gevolgen van de nieuwe privacywet. Het gaat te ver hier een uitputtende lijst te geven. Een overzicht van brancheorganisaties (lid van VNO-NCW) vindt u hier.
Tip #2
Lees je in om te weten wat de nieuwe privacywet inhoudt
Er bestaat meer dan genoeg ‘naslagwerk’ om na te lezen wat de AVG nu precies inhoudt en welke gevolgen dat voor jou als ondernemer heeft. ‘Ik lees bijvoorbeeld publicaties van de Artikel 29-werkgroep, een onafhankelijk adviesorgaan van Europese privacytoezichthouders, om te kijken hoe we het beste kunnen handelen’, aldus De Hollander (Timing Uitzendteam). ‘Binnen brancheorganisatie ABU raadpleeg ik de werkgroep privacy. Het heeft geen zin om bij alles bij de Autoriteit Persoonsgegevens aan te kloppen. Er is nog weinig jurisprudentie; zij hebben niet overal antwoord op.’
Tip #3
Probeer het idee achter de nieuwe privacywet te begrijpen
Het klinkt misschien een beetje gek, maar het helpt om te begrijpen wat het diepe ‘waarom’ van de nieuwe privacywet is. ‘Burgers moeten zich vrij voelen en onbevangen zichzelf kunnen zijn’, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. ‘Als je constant mensen gaat tracken, als je altijd alles van iedereen weet, kom je aan de fundamenten van de Nederlandse rechtsorde. Het zijn hun data waar ze dus ook zelf over moeten kunnen beschikken.’
En als je gegevens verwerkt, zegt Wolfsen, zorg dan dat je die data goed beveiligt en daarvoor technische en organisatorische maatregelen neemt. ‘Ik schrik af en toe van de slechte beveiligingsmaatregelen die ik zie bij bedrijven. En maak álle medewerkers privacy-bewust. Vaak is gevoelige informatie toegankelijk voor iedereen binnen het bedrijf. Dat is niet nodig. Leg binnen je organisatie vast wie gerechtigd is om bij welke informatie te komen.’
Tip #4
Wees open en zie de nieuwe privacywet als een kans
‘Zaak is dat je kunt aantonen dat je je aan de wet houdt’, zegt Bernardo Walta, commercieel directeur bij Goudse Verzekeringen. ‘Transparantie is het sleutelwoord. We zien de komst van de nieuwe privacywet trouwens ook als een kans om de kracht van onze organisatie te benadrukken. De vraag hoe je met persoonsgegevens omgaat, wordt steeds belangrijker in de markt. Het draait om vertrouwen. Voor onze cliënten is het essentieel dat we duidelijk maken dat we op een secure manier omgaan met hun persoonlijke informatie.’
Tip #5
Vraag op tijd om hulp als je wilt voldoen aan privacywet
‘Wanneer een ondernemer zegt: ‘Dit is niet duidelijk’, dan zou ik hem of haar adviseren een functionaris voor gegevensverwerking aan te stellen, of contact op te nemen met de branchevereniging’, adviseert Wolfsen (Autoriteit Persoonsgegevens). ‘Wanneer beiden vragen hebben, is de Autoriteit Persoonsgegevens dag en nacht bereikbaar. Letterlijk. We hebben vanaf mei een piketregeling en -nummer waarop bijvoorbeeld functionarissen voor gegevensverwerking in geval van nood ook echt kunnen bellen.’
‘De Autoriteit Persoonsgegevens is dag en nacht bereikbaar bij vragen. Letterlijk’
‘Onze ervaring is dat het met de tegenstrijdigheden in de praktijk vaak meevalt. Functionarissen voor gegevensverwerking interpreteren de wet soms te streng. Wij kunnen haarfijn bekijken wat wel of niet kan in welke specifieke situatie.’
En doorgeven waar de wet wringt kan ook, aldus Wolfsen. Het kan zijn dat een organisatie meent de privacy te mogen schenden in het belang van de burger. Wolfsen: ‘Als dat ook echt het geval blijkt te zijn, kunnen wij de wetgever adviseren de wet aan te passen. Ik zou dan ook aan alle functionarissen voor gegevensverwerking willen vragen om aan ons door te geven waar ze vinden dat nationale wetten wringen. Dan kunnen wij er misschien balans in helpen aanbrengen.’