AVG – geen ontkomen aan!

Reacties uitgeschakeld voor AVG – geen ontkomen aan!

De blog ‘De AVG komt er aan! Oei wat nu? (https://www.qolor.nl/2018/02/07/de-avg-wat-nu/) leidde tot vragen over de Algemene Verordening Gegevensbescherming (AVG) ‘Waarom moet ik me rot schrikken?’

Dit blog vertelt wat we als Qolor hebben gedaan toen we geconfronteerd werden met AVG. Onze eerste reactie was lacherig. ‘O, dat is iets voor grote bedrijven. Niet voor ons’…  Tot we ons in de AVG verdiepten.

Grofweg betekent AVG dat voor heel Europa per 25 mei 2018 dezelfde regels gaan gelden voor verwerking van persoonsgegevens. Persoonsgegevens hebben betrekking op alle gegevens over een persoon. AVG bedoelt hierbij echt alle gegevens! Je kunt het zo gek niet bedenken, als een gegevens op wat voor manier dan ook iets zegt over of gekoppeld is aan een identificeerbare natuurlijk persoon, dan zijn het persoonsgegevens. De vorm waarin maakt niet uit.

Elke ondernemer, bestuurder of manager moet bekend zijn met AVG. De impact van AVG op processen, diensten en goederen moet worden ingeschat en bekeken moet worden of aanpassingen nodig zijn. Er staan boetes op overtredingen. Wij wisten dat niet. Jij wel?

Rechtvaardigheidsgrondslag bepalen voor verwerken persoonsgegevens is vereist!

Je moet kunnen aantonen dat je een reden hebt om persoonsgegevens te verwerken. De redenen zijn: ondubbelzinnige toestemming, noodzakelijk voor uitvoeringen van een overeenkomst, wettelijke verplichting, vitaal belang, vervulling publiekrechtelijke taak en gerechtvaardigd belang.

Bij ondubbelzinnige toestemming moet er toestemming worden gegeven door de betrokkene. En het moet (net zo) eenvoudig zijn om die toestemming in te trekken als te geven. Dat geldt niet alleen voor gegevens van medewerkers maar ook gegevens van klanten, relaties enz. Betekende voor ons het aanpassen van o.a. arbeidscontracten. Een centrale gegevensbank met relaties kan alleen maar als er toestemming is van betrokkenen om daarin te worden opgenomen. Heeft je website een pagina waar meer informatie kan worden opgevraagd door een e-mailadres achter te laten, betekent dat ook melden wat er met dat e-mailadres gebeurt na het verzenden van de informatie (eventueel met toestemming). Aanpassen van onze website met een privacy statement was nodig. En er is altijd recht van inzage.

Alle gegevensverwerkingen binnen Qolor werden in kaart gebracht.

We legden vast welke persoonsgegevens we verwerkten, met welk doel, waar de gegevens vandaan komen, waar ze worden bewaard en met wie ze worden gedeeld. Beoordeeld werd of overeengekomen afspraken met leveranciers, waarmee we gegevens uitwisselen, voldeden aan de eisen die AVG aan verwerkersovereenkomsten stelt. Google heeft het goed op orde. Maar hoe zit dat voor telecomproviders, leasemaatschappijen etc.? Vanwege de aard en omvang van de persoonsgegevens die we verwerken was een  Data Privacy Impact Assessment (DPIA) niet noodzakelijk.

Het bleek ook dat we persoonsgegevens bewaarden die helemaal niet bewaard hoeven of zelfs mogen worden. En niet alleen elektronisch. Wat te denken van het papieren archief. Wij hadden het geluk dat we pas zijn verhuisd en toen gelijk grote schoonmaak hebben gehouden. Daar hoefden we weinig aan te doen. Anders moet je ook het papieren archief doorspitten.
Gegevens van oud-werknemers of sollicitanten mogen niet worden bewaard als niet duidelijk is waarom dit wordt gedaan. We horen je zeggen ‘O, dat doen we al nooit’. Wij ook niet. Maar we waren wel de back-ups vergeten. Die werden bijna nooit opgeschoond.

Bij nieuwe opdrachten en diensten moet je zorgen voor een goede bescherming van de persoonsgegevens. En moet worden geregeld dat alleen deze worden verwerkt indien noodzakelijk.

Datalekken moeten worden gedocumenteerd.  Als er grote persoonlijke gevolgen voor de betrokkene ontstaan door het datalek  dan dient hij of zij te worden geïnformeerd. En bij zware gevallen gemeld bij de Autoriteit Persoonsgegevens. Je moet dan kunnen aantonen dat maatregelen waren genomen om datalekken te voorkomen.

Er verandert dus heel veel!

En hou er maar rekening mee dat het tijd kost om het in te richten. Als bedrijf kan het nuttig zijn om de opstart door een extern bedrijf te laten begeleiden. Die kunnen de eisen in perspectief zetten en advies geven.

Je kan er natuurlijk ook voor kiezen om niets te doen. Wij hebben dat niet gedaan. Weet wel dat bij klachten de Autoriteit Persoonsgegevens verplicht is om te handelen.  Wij hebben het nu op orde. Jij ook? Wij helpen je graag. Kijk ook op https://qolor.nl/privacy-management