Wat moet ik doen voor de AVG om een boete te voorkomen?

Home / Blog / Privacy / Wat moet ik doen voor de AVG om een boete te voorkomen?

Vanaf 25 mei 2018 treedt de AVG in werking en in de aanloop naar deze periode merkten we al dat veel ondernemers hier nog onvoldoende op voorbereid zijn. Als je meer wilt weten over wat de AVG precies inhoudt, verwijzen we je graag naar ons eerdere artikel over dit onderwerp. Vanaf mei geldt in de gehele Europese Unie dezelfde privacywetgeving. Deze wet Algemene Verordening Gegevensbescherming vervangt de Wet bescherming persoonsgegevens (Wbp).

Dit is de grootste wetswijziging op dit gebied in enkele tientallen jaren. En de boetes zijn niet mals: tot wel 4% van de jaaromzet of 20 miljoen euro. Lees dus mee wat er van u verwacht wordt in voorbereiding op de AVG.

Hoe ontstaat een datalek?

Er zijn verschillende mogelijkheden hoe datalekken kunnen ontstaan. Een eigen medewerker kan per ongeluk gegevens vernietigen, verliezen of openbaar maken. Maar ook mensen van buitenaf kunnen veel schade berokkenen door middel van hacks. Daarnaast zijn er nog steeds virussen in omloop die het computernetwerk kunnen binnendringen, bijvoorbeeld nadat een medewerker een geïnfecteerde bijlage opent in zijn of haar emailcliënt.

Heb ik de persoonsgegevens echt nodig?

Iedere ondernemer is onder de AVG verantwoordelijk voor de opgeslagen en/of verwerkte klantgegevens. Persoonsgegevens liggen regelmatig op straat door een lek in de software. Dat kan iedere organisatie gebeuren, zeker nu er steeds meer mensen bezig zijn met het vinden van die lekken. Het kan om allerlei gegevens gaan. Niet alleen de gegevens die de klant invult zoals naam en adres, maar ook IP adressen en beveiligingsbeelden van een camera vallen hier bijvoorbeeld onder.

De AVG stelt het verplicht de verwerking van klantgegevens te registreren: wat slaat u op en waarom? Want als er een lek ontstaat en gegevens komen op straat te liggen, bent u verantwoordelijk. Dat vraagt ook een heroverweging van de opgeslagen gegevens; zijn die wel allemaal nodig? Kan ik mijn product of dienst ook aan mijn klant leveren met minder gegevens? U moet kunnen beargumenteren dat u de gegevens die u opslaat, echt nodig heeft. Om hierbij een voorbeeld te noemen: veel webshops vragen bij het invullen van de account onder andere naar het geslacht van de klant. Maar is dat nodig om het pakketje bij de klant te krijgen? Daar moet dus kritisch gekeken worden welke gegevens essentieel zijn en welke niet.

Onder de nieuwe wetgeving is niet alleen de ondernemer verantwoordelijk voor de klantdata die hij opslaat, ook de softwareleverancier moet zijn verantwoordelijkheid nemen en de ondernemer wijzen op zaken die niet verstandig zijn omtrent het opslaan van persoonsgegevens. Dat zullen wij als softwareleverancier dan ook aanhalen in de gesprekken als wij voor u een applicatie ontwerpen. Die kritische houding op gegevensbescherming vinden wij deel van onze verantwoordelijkheid.

Wat moet ik doen voor de AVG?

1. Begin met een check; inventariseer alle gegevens die u opslaat van klanten of gebruikers en de manier waarop u dat doet. Kijk daarna of die manier van verwerken al voldoet aan de nieuwe regels. Zo nee; inventariseer welke aanpassingen u moet doen. Het is bijvoorbeeld ook belangrijk om toestemming te vragen aan gebruikers en klanten voor het gebruik van hun gegevens. Daarin moet het heel duidelijk zijn dat de persoon effectief toestemming geeft, om welke gegevens het gaat en waarvoor ze worden gebruikt.
2. Voorzie in een databeschermingsplan. Alle organisaties zijn onder de nieuwe wet verplicht om een beschermingsplan voor persoonsgegevens te hebben.
3. Geen juridische kennis in huis? Raadpleeg een jurist! Dit kost misschien wat extra maar dan weet u zeker dat uw manier van gegevens verzamelen en gebruiken correct is. Wetgeving is complex en vaak moeilijk te beoordelen voor een leek. Daarnaast is een boete betalen veel duurder dan het inhuren van een jurist voor enkele uren.
4. Privacy moet een standaard onderwerp zijn in de ontwerpcyclus van product of dienst. Zorg dat er in het ontwikkelproces standaard nagedacht wordt over hoe met privacy wordt omgegaan. Privacy by design noemen we dat.
5. Stel een protocol op voor het omgaan met datalekken. In de nieuwe wetgeving moet u een datalek verplicht melden, ongeacht hoe groot de schade is en hoe het lek tot stand is gekomen. Maak nu al een protocol waarin staat wat de procedure is, wie er op de hoogte moeten worden gebracht en vooral ook wie er verantwoordelijk is voor de uitvoering van het protocol. Het is belangrijk dat uw meldingen correct zijn want als dat niet het geval is loopt u ook kans op een boete.
6. Zoals we eerder in dit artikel al aanhaalden, geldt deze wet niet alleen voor uzelf als ondernemer/organisatie en wat u met uw klantgegevens doet. Het gaat om het gehele traject dat uw klantgegevens of gebruikersgegevens afleggen. Dat kan zijn binnen uw organisatie of namens uw organisatie. Daar komen ook partijen om de hoek kijken die namens uw organisatie persoonsgegevens opslaan of verwerken. Denk hierbij bijvoorbeeld aan softwareleveranciers zoals wij. Leveranciers moeten dus ook voldoen aan de AVG en het is belangrijk hier op te letten bij de samenwerkingstrajecten die u met leveranciers aangaat. Let bijvoorbeeld op databeveiliging, gegevensbeheer en maatregelen om de kans op datalekken te beperken. Er zijn internationale standaarden voor gegevensbeveiliging, zoals de ISO norm 27018. Het is dus belangrijk om na te lopen met welke partijen u samenwerkt en hoe zij hiermee omgaan want u bent verantwoordelijk voor alle gegevens die namens uw organisatie worden verzameld.

Wij hopen u hiermee enkele handreikingen te doen waardoor u uw eigen beleid omtrent verzameling en gebruik van persoonsgegevens nog eens kritisch onder de loep neemt. Als u vragen heeft over hoe wij als software leverancier omgaan met deze nieuwe wetgeving of als u bij ons een applicatie wilt laten bouwen en met de AVG worstelt, kunt u uw vragen stellen aan onze Geurt Jan van Ek. Als u nog vragen heeft over de wet zelf verwijzen we u door naar de Autoriteit Persoonsgegevens.

Disclaimer: aan dit artikel kunnen geen rechten worden ontleend. Dit artikel is slechts informerend en wij nemen geen verantwoordelijkheid voor eventuele onjuistheden die hier onbedoeld ingeslopen kunnen zijn. Wij zijn een software leverancier die geconfronteerd wordt met deze nieuwe wetgeving en delen graag de kennis die wij hebben opgedaan om ons beter bekend te maken met de AVG en andere privacywetgevingen omdat wij ook werken met persoonsgegevens in onze applicaties.