AVG u moet er wat mee!

Iedere organisatie die persoonsgegevens opslaat, krijgt te maken met de nieuwe privacyregels van de Algemene Verordening Gegevensbescherming AVG die vanaf 25 mei a.s. in werking treden. Dit betekent dat u veranderingen moet doorvoeren in de wijze waarop u en uw medewerkers deze gegevens be- en verwerken, bewaren, beveiligen en gebruiken. Doet u dat niet, dan kan de Autoriteit Persoonsgegevens (AP) u forse boetes opleggen. Zorg dus dat u tijdig AVG – proof bent. Hierna leest u wat u ten minste moet doen en hoe u dit aanpakt.

Verwerkingsregister
U moet een verwerkingsregister hebben dat u steeds up to date moet houden. Hierin geeft u aan welke soort gegevens u in uw bedrijf verzamelt en waarom u die gegevens verzamelt. Die doelen moeten stroken met wat de nieuwe privacyregels hiervoor toestaan. Zo mag u gegevens verzamelen om een overeenkomst of een wettelijke plicht te kunnen uitvoeren, maar ook als u daarbij een gerechtvaardigd belang heeft of in het geval u daarvoor toestemming heeft van de betrokkenen.
U moet zich wel altijd afvragen of het echt nodig is om een gegeven te verzamelen. Voor het verzamelen van bijzondere persoonsgegevens, zoals medische gegevens, gelden andere regels.

“Zorg dat u tijdig AVG – proof bent en voorkom forse boetes!”

Gegevensbeschermingsbeleid
U moet beleid maken en vastleggen over de wijze waarop u persoonsgegevens beschermt, zodat u dit kunt aantonen als de AP daarnaar vraagt. In dit document staat hoe u organisatorisch en qua ICT omgaat met gegevens, waar nodig op onderdelen aangevuld met specifieke procedures.

Informeren betrokkenen
U zult de personen van wie u gegevens verzamelt, hierover moeten informeren. Dit kunnen uw klanten zijn, maar ook uw leveranciers en dienstverleners of uw werknemers worden geïnformeerd. U kunt hen informeren met een privacyverklaring of via een schriftelijk vastgelegd protocol. U kunt uw personeel ook informeren via een protocol in de arbeidsovereenkomst of het arbeidsreglement.

Verwerkersovereenkomst 
Sommige zaken besteedt u uit. U laat bijvoorbeeld de salarisadministratie van uw personeel door een salarisadministrateur verzorgen. Deze verwerker krijgt dan toegang tot de persoonsgegevens die u verzamelt. Of andersom, werkzaamheden worden aan u uitbesteed. U bent dan de verwerker. In beide gevallen moet u met elkaar afspraken maken over wie wat en wanneer doet en wat hij/zij wel en niet mag doen met de persoonsgegevens. U legt de afspraken vast in een verwerkingsovereenkomst. De verwerker maat deze overeenkomst meestal in conceptop. Bent u niet de verwerker, dan moet u goed nagaan of de voorgestelde afspraken stroken met de eisen van de nieuwe privacyregels.

Protocol melding datalekken
Tot slot noemen we het protocol voor het melden van een datalek. Uw medewerker verliest bijvoorbeeld een usb-stick, waarop persoonsgegevens van uw klanten staan. In het protocol ligt dan de procedure vast die uw medewerkers moeten volgen voor het melden van de datalek.

De aanpak
Er zijn veel zaken die u moet regelen, maar waar moet u beginnen? Het is verstandig om eerst een nulmeting te doen. U inventariseert dan eerst welke gegevens en van wie u nu verzamelt en waarom u die verzamelt. Als u dit in kaart heeft, legt u dit naast de eisen die de nieuwe privacyregels stellen aan het verzamelen, bewaren, be- en verwerken, beveiligen en gebruiken van deze gegevens. Zo krijgt u een beeld van waar u aanpassingen moet doorvoeren of nog maatregelen moet treffen.

Meer informatie
Hiervoor heb ik kort aangegeven wat u in elk geval moet doen om tijdig AVG – proof te zijn. Heeft u meer informatie nodig over wat u precies moet doen in een specifieke situatie? Hebt u hulp nodig bij de implementatie of heeft u modellen nodig? Neemt u gerust contact op als u vragen heeft over AVG . U bereikt mij via rm@adrome.nl of 085 792 0074.

 

Ron Meijer RBc

Over de auteur

Ron Meijer

Ron Meijer is zelfstandig belastingadviseur bij Adrome Fiscaal, auteur bij Wolters Kluwer, coach bij Qredits Nederland en lid van Register Belastingadviseurs. Ron’s motto is: “Alles is aftrekbaar, tenzij..."