AVG Praktische Tips voor ZZP en MKB
De AVG. We raken er maar niet over uitgepraat. Wat moet je nu wel en wat niet als ondernemer (en vereniging)? En waarom? Voor de wet of doe je het voor je klanten? Ja de AVG is ook voor ZZP, MKB en verenigingen. Heb jij een ledenbestand, een klantenbestand, een personeelsbestand een ZZPer als toeleverancier etcetera? Dan heb je te maken met de AVG. En ondanks dat het heel veel regelgeving is, is de basis hiervoor dat de bescherming van je klanten, medewerkers, leden, voorop staat. Jan Derksen gaf tijdens de bijeenkomst op donderdag 17 mei een aantal praktische tips voor MKB-ers.
Stap 1 Bewustwording
Verzamel of verwerk je persoonsgegevens? Wees je er dan van bewust dat jij en eventueel anderen die hier bij kunnen er vertrouwelijk mee omgaan.
Stap 2 Register maken
Welke persoonsgegevens heb je van wie? Waarom heb je deze gegevens, waar gebruik je ze voor? Wie heeft er toegang toe? Op welke manier is de toegang beveiligd? Hoe lang bewaar je ze? Op welke manier verwijder je de gegevens? (Verwerk dit in een tabel.)
Stap 3 Verwerkingsprocessen
Vervolgens ga je de verwerkingsprocessen in kaart brengen. Daarbij doorloop je eigenlijk steeds vijf stappen:
1. Wie/wat: is of zijn er bij betrokken?
2. Actie: wat wordt er gedaan?
3. Tool: welke tool wordt hierbij gebruikt?
4. Opslag: waar worden gegevens opgeslagen?
5. Bewaartermijn: hoe lang worden deze bewaard
Dus bijvoorbeeld
1: betrokken persoon (wie/wat), 2: vult gegevens in (actie), 3: in Wordpress (tool), 4: n.v.t. (opslag), 5: n.v.t. (bewaartermijn)
1: Wordpress (wie/wat), 2: stuurt gegevens door (actie), 3: naar Mailchimp (tool), 4: n.v.t. (opslag), 5: n.v.t. (bewaartermijn)
1: Mailchimp (wie/wat), 2: verwerkt gegevens (actie), 3: Mailchimp (tool), 4: in Mailchimp (opslag), 5: tot opt-out (bewaartermijn)
1: Mailchimp (wie/wat), 2: stuurt bevestiging (actie) 3: Mail (tool), 4; n.v.t. (opslag), 5: n.v.t. (bewaartermijn)
Stap 4 Privacy verklaring
Als je deze gegevens allemaal in kaart hebt, kun je een privacyverklaring opstellen. Er zijn tal van voorbeelden zoals een uitgebreide van KPN of een leuke van Coolblue. Ook zijn er diverse sites waar je een generator kunt vinden zoals op Veiliginternetten.nl
Stap 5 Verwerkersovereenkomst
Zijn er derden met wie je persoonsgegevens deelt? Zoals een accountant, een mailingtool (Mailchimp)? Zo ja dan dient daar een verwerkersovereenkomst mee gesloten te worden. Jij bent verantwoordelijk hiervoor, maar veel grote bedrijven hebben zelf hier een template voor omdat zij dit voor meerdere klanten moeten regelen. Advies is om dit met hen te overleggen.
Stap 6 Datalekken
Heb je alles gedaan om de persoonsgegevens te beveiligen dan kan het toch nog gebeuren dat er iets misgaat. Bijvoorbeeld een telefoon kwijt. Dit is een datalak, dit dien je te melden bij de desbetreffende personen en de Autoriteit Persoonsgegevens (AP). Je hoeft niet meteen te vrezen voor een boete. Je kunt een datalek beter melden dan dat er achteraf grote problemen uit voortkomen.
Tot slot
Ben je op 25 mei nog niet helemaal AVG proof? Dan hoef je nog niet meteen te stressen. Begin in ieder geval met een jaarplan waarin je de stappen zet en inplant. Als de AP toevallig bij jou komt controleren dan kun je hen dit laten zien en uitleggen. Én commit jezelf hieraan. Immers uiteindelijk moet het toch allemaal en zijn je klanten en medewerkers er mee gebaat. Uitstel kan in dit geval geen afstel zijn.
Foto’s door Marijke van Studio Smik: