U hebt, als ondernemer, al wel wat in de wandelgangen gehoord over de nieuwe privacywetgeving AVG maar om heel eerlijk te zijn denkt u: Wat een flauwekul! Nou, ik kan het u ook niet kwalijk nemen. Als u de wettekst erbij pakt wordt het er niet makkelijker op. En u zou bijna een hartaanval krijgen met de dreiging van boetes tot 20 miljoen euro. Speciaal voor u als ondernemer schrijf ik dit artikel om u op de goede weg te helpen.

Maar wat is de AVG nu eigenlijk? De AVG is privacywetgeving dat in het leven is geroepen om persoonlijke informatie te beschermen. Ik hoor u al denken, het is één grote brok ellende om ondernemers het leven zuur te maken. Ik snap uw denkwijze maar ongeacht of u het wel of niet ermee eens bent, is de AVG ook voor u in het leven geroepen om uw persoonlijke informatie te waarborgen en te beschermen. Denk hierbij aan ondernemingen waaraan u uw geboortedatum of Burgerservicenummer (BSN) hebt verstrekt maar u nu denkt: Dit zit me niet lekker en ik wil niet dat zij die informatie van mij bezitten. Door deze wet kunt u naar de onderneming toestappen en verzoeken de informatie van u te (laten) wissen in hun systeem. En dat is nog maar één voorbeeld van de velen.

Daarentegen wordt u nu wel geconfronteerd met allerlei zaken die u binnen uw onderneming dient te regelen en op te zetten. U doet uw best om op internet diverse artikelen te lezen maar verliest hierbij het overzicht. Begrijpelijk. Daarom heb ik speciaal voor u dit 5-stappenplan AVG opgesteld om een begin te maken om uw onderneming AVG-proof te maken:

  1. Onderzoeken: Breng allereerst in kaart van wie uw onderneming persoonsinformatie verwerkt en welke onderneming(en) deze persoonsinformatie in opdracht van u verwerkt. Deze informatie hebt u nodig om de volgende stappen te kunnen zetten;
  2. Beveiligen: Zorg ervoor dat er maatregelen zijn ondernomen om de persoonsinformatie van betrokkenen te beschermen. Denk hierbij onder meer aan wachtwoorden maar ook aan welke medewerkers toegang hebben tot deze persoonsinformatie. De vraag die daarbij onder meer belangrijk is: Dient deze medewerker(s) ook toegang tot deze informatie te hebben?
  3. Verklaren: Stel een privacyverklaring voor uw website op. Het woord privacyverklaring verraadt eigenlijk al wat het betekent, een verklaring waarmee u klanten en bezoekers informeert over welke persoonsinformatie u van hen verzamelt, het doel dat u daarbij hebt en welke rechten zij hebben. Indien u al een privacyverklaring heeft, kijk er met een scherp oog naar en wees ervan bewust dat de privacyverklaring bij hantering van de AVG over meer informatie moet beschikken dan eerder het geval was.
    Verwerkt u cookies via uw website? Een cookie is afkomstig van het woord “fortune cookie”. Zoals in een gelukskoekje een voorspelling zit, bezit een zogeheten cookie geheime informatie over bezoekers van een website. Cookies worden voornamelijk gebruikt om de ene bezoeker van de andere te onderscheiden.
    Wanneer u gebruik maakt van cookies om informatie te verzamelen, dient een cookieverklaring te worden opgesteld. Mijn advies is om in de privacyverklaring de cookieverklaring te verwerken zodat u één geheel overzichtelijke verklaring op uw website hebt staan;
  4. Verwerken: Bij de omgang van persoonsinformatie moet met bepaalde partijen een verwerkersovereenkomst worden aangegaan. Een verwerkersovereenkomst is een overeenkomst waarin afspraken worden gemaakt over hoe met persoonsinformatie van betrokkenen dient te worden omgegaan en wat er wordt ondernomen om deze persoonsinformatie te beschermen en te waarborgen;
  5. Opslaan: Er zijn aparte regels voor wanneer persoonsinformatie vanuit Nederland naar buiten de Europese Unie (EU) gaat/wordt opgeslagen (met uitzondering van Noorwegen, Liechtenstein en IJsland). Wanneer persoonsinformatie wordt opgeslagen in een land buiten de EU dient de organisatie in dat land te voldoen aan een passend beschermingsniveau, dient er sprake te zijn van een wettelijke uitzondering of dient er sprake te zijn van een vergunning van de minister van Justitie en Veiligheid. Mijn tip aan u is om ervoor te zorgen dat geen persoonsinformatie naar organisaties buiten de EU gaat. Waarom het uzelf moeilijker maken dan eigenlijk hoeft?

Nadat u deze vijf stappen hebt doorlopen, hebt u een belangrijk onderdeel van de AVG afgerond.

Hebt u na het lezen van dit artikel nog steeds vragen, neem dan gerust contact met mij op. Ik wil u graag verder begeleiden om uw organisatie volledig AVG-proof te maken.

Bertina de Leeuw
AVIO advocaten B.V.
leeuw@avioadvocaten.nl