Natalie Schrijft
Iets met privacy…
Met de privacyschandalen van Facebook, maar ook om te voorkomen dat jouw bankgegevens zonder jouw toestemming op straat liggen, is vorig jaar met veel tromgeroffel dé nieuwe privacywet ingevoerd. Omdat er tijdens het juridisch spreekuur enorm veel vragen over zijn, maar ook omdat ik ondernemers soms dingen hoor zeggen en denk… "die heeft de klok horen luiden, maar weet niet waar de klepel hangt" sta ik hier nu stil bij deze wet. Belangrijk, want: de AVG er is voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Dus eigenlijk voor alle bedrijven. Vandaar in deze column stap voor stap wat je echt geregeld moet hebben om een boete te voorkomen.
De kern is dat je als ondernemer bewust bent geworden wélke gegevens je opslaat en verzamelt en daarbij rekening houdt met de rechten van deze betrokkenen. Vervolgens is het belangrijk dat je deze betrokkenen als ondernemer informeert. Hoe je dat doet? Dat doe je (onder meer) via jouw privacystatement. Hierin staat in ieder geval: de identiteit van je bedrijf; de contactgegevens; het doel en de juridische basis van de verwerking; de bewaartermijn van de gegevens die je opslaat; de rechten van de betrokkenen; het recht om toestemming voor de verwerking van gegevens in te trekken; het recht om een klacht in te dienen bij de toezichthouder en welke derde partijen voor jou gegevens verwerken.
Heb je nog geen privacystatement? Dan is het wel belangrijk om dat nu écht te regelen zodat je geen boete ontvangt van de Autoriteit Persoonsgegevens. De eerste boete is al uitgedeeld en die is niet mis. Het Haagse HagaZiekenhuis heeft een boete gekregen van €460.000,- vanwege de slechte beveiliging van patiëntendossiers.
Dat liever voorkomen? Neem dan ook de derde stap. Dat is het inzichtelijk maken welke gegevens je verwerkt. Om aan de wet te voldoen dien je de verwerking van deze gegevens op te slaan in een register verwerkingsactiviteiten.
Als je dit zo leest op deze mooie zomerse dag snap ik best dat het allemaal ingewikkelde termen zijn. Het mooie is dat deze registers en statements in een wet zijn vastgelegd zodat jouw gegevens niet zomaar op straat liggen. Los van het RDW-schandaal dat "as we speak" wordt onderzocht. Uit onderzoek van RTL Nieuws zou namelijk blijken dat RDW-gegevens, waaronder persoonsgegevens, online worden verkocht! Voor de RDW staat nog niet vast dat dit gebeurt, vandaar dat dit nu onderwerp is van een gedegen onderzoek.
Terug naar 'the legal check' voor de AVG. De volgende stap is dat je een lijst maakt met daarop de bedrijven die óók met de gegevens van jouw klanten werken. Geen idee wat ik bedoel? Tip: denk aan je accountant, advocaat, provider etc. Met deze bedrijven sluit je een verwerkingsovereenkomst.
Omdat de wetgever datalekken zoals bij grote banken of het hiervoor genoemde Haagse HagaZiekenhuis wil voorkomen, is een ander wettelijk vereiste dat je ook een plan maakt voor het geval er tóch een datalek ontstaat. Niet om je daar bang voor te maken, wel om je bewust te maken dat je hier nu al aan moet denken. Hoe? Door te werken met een meldingsformulier beveiligingsincident en een register datalekken. Heb je na deze column nog vragen? Bel of mail gerust. Op een mooie zomer!
Aloha,
Natalie Sylvette Bakker