De gevolgen van de Europese privacy verordening (AVG) voor het MKB

De invoering van de AVG per 25 mei 2018 schept verplichtingen voor het MKB. Er worden immers bij het MKB uiteenlopende wijze persoonsgegevens verwerkt. De AVG eist dat uitsluitend persoonsgegevens mogen worden opgeslagen en verwerkt, indien daarvoor een gerechtvaardigd doel is. Ook dient onderscheid te worden gemaakt tussen bijzondere persoonsgegevens (ras, geloof, politieke voorkeur, vakbondslid, BSN nummer, strafblad) en algemene persoonsgegevens (NAW, emailadres, IP).

De wetgeving dient personen meer bescherming te bieden. Het betreft een Europese wetgeving waarbij een aantal principes gelden. Het toepassen van deze principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening. 

Afsluiten verwerkersovereenkomsten

Het MKB dient verwerkersovereenkomsten af te sluiten met externe partijen, die (privacy) data kunnen inzien, opslaan of op enige wijze iets met de gegevens doet. Om deze overeenkomsten af te sluiten, dient inzicht te zijn met welke partijen dit plaats moet vinden. Denk aan salarisadministratie, accountant, Arbodienst, ICT beheerder.

Inzage in opgeslagen informatie

Het MKB dient inzichtelijk te maken hoe welke informatie (data) waar en voor hoe lang in de administratiesystemen wordt opgeslagen. Ook dienen er technische en administratieve voorzieningen getroffen te zijn voor de beveiliging van gegevens. Op verzoek van betreffende persoon dienen gegevens over hem/haar opgevraagd en/of verwijderd te worden uit de bestanden. Daarvoor dient te worden geïnventariseerdwelke persoonsgegevens voor welk doel worden opgeslagen/verwerkt, waarbij ze naar aard en doel gerubriceerd worden. Voor zo’n verwerkingsregister zijn Excel sheets in omloop.

Juridisch zijn een aantal punten van belang:

  • wijs privacy officer/functionaris gegevensverwerking (FG) aan;
  • instrueer personeel over gebruik usb, wachtwoord, dropbox, google/Gmail etc. en laat medewerkers tekenen dat ze zich zullen houden aan de daarvoor beschikbare procedures, ook indien het fout gaat, bijv. bij verlies van data.
  • stel model verwerkingsovereenkomsten op t.b.v. externe actoren  van MKB;
  • stel privacy en cookie statement op t.b.v. website, Facebook, Twitter, Instagram;
  • zorg in opdrachtbevestiging dat klanten expliciet gewezen worden op gebruik van persoonsgegevens voor nieuwsbrief, seminars en dat ze daarvoor toestemming dienen te geven (via vinkje, in algemene voorwaarden die expliciet geaccepteerd dienen te worden of / ‘voor akkoord’ bij handtekening opdrachtbevestiging).

 Door zich als bedrijf aan deze regels te houden, wordt voorkomen dat uiteindelijk een boete kan worden opgelegd bij overtreding.

  • zorg voor een systeem, waaruit blijkt dat niet-klanten expliciet akkoord gaan met mailing voor nieuwsbrieven, seminars. Beheer zelf (email-)adressenbestand;
  • Formuleer (en communiceer intern) een procedure meldplicht datalekken en Protocol bij datalek, incl.  logging security incidenten.

 

Bron: Actuele Artikelen