Wat?! Ben je nog niet privacy proof? Dan mag je wel opschieten als ondernemer. Want the clock is ticking: 25 mei treedt de nieuwe privacywet in werking. Dit zijn de 7 dingen waar je als ondernemer direct mee aan de slag moet.
#1
Denk niet: ‘Ik hoef niets met de nieuwe privacywet.’ De nieuwe privacywet geldt voor álle ondernemers
Met ingang van 25 mei treedt de Europese General Data Protection Regulation (GDPR) in werking, in Nederland de Algemene verordening gegevensbescherming (AVG) genoemd. Die vervangt de huidige Wet bescherming persoonsgegevens.
Ben je ondernemer en verwerk je persoonsgegevens? Dan heb jij dus ook met deze wet te maken. Met verwerken wordt bedoeld: opslaan en gebruiken. Het gaat dan niet alleen om data van klanten en patiënten, maar ook om die van medewerkers, opdrachtgevers en partners. ‘En speculeer vooral niet dat we soepel met de wet omgaan’, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. ‘De AVG is al sinds mei 2016 van kracht, in mei wordt hij echt gehandhaafd. Ondernemers kregen twee jaar de tijd om zich hierop voor te bereiden. Er is geen excuus om straks niet zorgvuldig met privacygegevens om te gaan.’ En dat kan betekenen dat de Autoriteit boetes oplegt. ‘Die boetes zijn een noodzakelijk kwaad. Het is net als met fout parkeren: wanneer niemand een boete krijgt, houdt niemand zich aan de regels.’
#2
Trek tijd en geld uit om te voldoen aan de privacywet
Nieuw is dat je voortaan actief moeten aantonen dat je je als ondernemer aan de nieuwe privacywet houdt. Simpel gezegd moet je als bedrijf zo min mogelijk data verwerken, en alleen bewaren wat ook echt noodzakelijk is. Verder ben je verplicht klanten te wijzen op hun recht op inzage van gegevens en de verwijdering daarvan.
AVG-proof worden is niet eenvoudig: het kost tijd, energie en geld. Maar die moet je er als ondernemer dus wel insteken. ‘Om een idee te geven’, zegt Bernardo Walta commercieel directeur bij Goudse Verzekeringen: 'Wij verwerken persoonsgegevens van zo’n 30.000 cliënten. Daarbij gaat het om gewone data, zoals naam, adres en woonplaats. Maar ook bijzondere, gevoelige data zoals medische informatie en strafrechtelijke gegevens. Ons budget om aan de nieuwe privacywet te voldoen, bedroeg ongeveer 500.000 euro – dat is inclusief de uren van medewerkers die zich met de nieuwe wet bezighouden.’
'voldoen aan de nieuwe privacy- wetgeving kost hoe dan ook geld'
#3
Check wat je moet doen: verwerkingsregister aangelegd?
Hoe je als ondernemer laat zien dat je je netjes aan de privacywet houdt? Dat doe je door alle gegevens die je bedrijf verwerkt nauwkeurig te documenteren in een verwerkingsregister. Hierin leg je vast welke gegevens je verzamelt, met welk doel, en voor hoelang. Bedrijven met meer dan 250 medewerkers moeten sowieso zo'n register bijhouden. Kleinere bedrijven lijken uitgezonderd, maar moeten toch al heel snel een register aanleggen: bijvoorbeeld als de data die ze verwerken een hoog privacyrisico voor de persoon inhouden; als de verwerking niet-incidenteel is; of wanneer 'bijzondere persoonsgegevens' worden verwerkt, denk aan strafrechtelijke gegevens of gegevens over gezondheid.
De Autoriteit Persoonsgegevens (AP) gebruikt dit verwerkingsregister om te checken of je je zaken omtrent privacy goed op orde hebt.