We horen de waarschuwingen, we lezen er overal over en we worden platgegooid met reclame. De Algemene Verordening Gegevensbescherming en het nieuwe privacy regime treedt bijna in werking en zal zorgen voor verandering. Er zijn veel meningen over de inhoud van de verordening. Maar de echte vraag is: Wat moet IK nu echt DOEN? Dit vroegen wij, van Legal Account als kleine ondernemer, ons ook af.
Als uw externe bedrijfsjurist, hebben wij uitgebreid onderzoek gedaan met als hoofddoel: een “to-do lijst” samenstellen. In een korte samenvatting zouden wij graag enkele van onze conclusies met u doornemen. Hierbij moeten wij wel vooraf opmerken dat het kan zijn dat u, als grotere ondernemer of als ondernemer in een bepaalde branche nog enkele punten dient toe te voegen aan deze lijst. De basis is echter wel al voorhanden. En nee, u hoeft niet in de boeien als u het niet allemaal af krijgt voor 25 mei 2018. De Autoriteit Persoonsgegevens gaat controleren en ze mogen hoge boetes uitdelen, maar dit is niet het doel. Er is zelfs al aangegeven dat als ze kunnen waarschuwen ze dit ook zullen doen en dat ze in principe eerst met u in gesprek zullen gaan. Een actieve houding is uiteraard wel belangrijk.
Stap 1: inventarisatie in definities
Allereerst is het van belang om te bepalen welke rol u heeft. Drie hoofdrollen onder de AVG:
- Betrokkene (een natuurlijk persoon waarvan de gegevens worden verwerkt),
- Verwerkingsverantwoordelijke (bepaalt doel en middelen van de verwerking en verwerkt zelf of geeft hiertoe opdracht), en;
- Verwerker (verwerker in opdracht van de verwerkingsverantwoordelijke).
Heel kort door de bocht: uw klant (1) die bij u (2) een bestelling plaatst en het administratiekantoor / -afdeling dat uw aangiftes verzorgt (3). Let op: een eenmanszaak dient als een natuurlijk persoon behandelt te worden. Deze notitie is met name gericht aan de verwerkings-verantwoordelijke.
Verwerkt u eigenlijk wel persoonsgegevens? Dat doet u al vrij snel. Een telefoonnummer of een e-mailadres is namelijk al een persoonsgegeven. Als u iemands e-mailadres verzamelt, verwijdert, opslaat, wijzigt, opvraagt of raadpleegt, bent u al aan het verwerken. De combinatie van gegevens is echter wel belangrijk. Alleen een geboortedatum, bijvoorbeeld zonder een naam, is geen persoonsgegeven, omdat niemand geïdentificeerd kan worden. Een speciale categorie wordt gevormd door de bijzondere persoonsgegevens. Het gaat om gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden. De hoofdregel was en is: deze mogen niet worden verwerkt. Uiteraard zijn hier ook uitzonderingen op, waarbij voornamelijk toestemming, wettelijke verplichtingen of noodzakelijkheid een rol spelen. U raadt dus al dat als u bijzondere persoonsgegevens verwerkt er nog aanvullende te nemen acties zijn.
Vervolgens is het belangrijk om te weten wat het doel is dat u wilt bereiken. Volgens de AVG is dit: 1) transparantie (iemand weet dat zijn gegevens worden verwerkt en kent zijn rechten) en 2) doelbinding (gegevens mogen voor een bepaald doel worden verwerkt).
Actielijst
Met enkele definities in ons achterhoofd is het tijd voor de praktijk. Onder de AVG bestaat namelijk een informatie- en een documentatieplicht. In het licht van de te bereiken doelen moeten we er kortom voor zorgen dat we alleen de gegevens verzamelen die we nodig hebben, dat we zo min mogelijk gegevens verwerken op een veilige manier en dat we zo min mogelijk doen met deze gegevens. We willen namelijk geen ‘datalek’ en we willen geen rechten van betrokkenen schenden. Bij deze rechten kan gedacht worden aan: het recht op informatie, doelkennis, inzage, rectificatie en verwijdering en bezwaar maken.
De eerste stap in een algemene stappenplan is het in kaart brengen van uw stromen aan persoonsgegevens. Dit betekent dat u onder andere de vraag beantwoordt of u naast verwerkingsverantwoordelijke ook verwerker bent en of er ook bijzondere persoonsgegevens verwerkt worden. Inzicht en overzicht is natuurlijk altijd een goed uitgangspunt. Echter, zijn de volgende stappen veelal als volgt omschreven:
- Opstellen gegevensbeschermingsbeleid;
- Nemen van passende technische en organisatorische maatregelen;
- Maken van een register van verwerkingsactiviteiten;
- Beoordelen of de wijze van gegevensbescherming het juiste effect heeft;
- Eventueel een functionaris Gegevensbescherming aanstellen (als u stelselmatig en op grote schaal persoonsgegeven verwerkt als hoofdactiviteit of grootschalig bijzondere persoonsgegevens verwerkt).
Wij waren vooral benieuwd naar de stap nadat in kaart is gebracht wat er hoe wordt verwerkt: wat zijn ‘passende maatregelen’? Hieronder alvast een basis met een niet uitputtende opsomming:
- Een privacyverklaring op uw website plaatsen die voldoet aan de AVG (dit betekent dat u een huidige privacyverklaring aan kunt (laten) passen);
- Een disclaimer in de handtekening onder uw e-mail plaatsen (of aan(laten)passen als u er al één hebt);
- Uw standaard algemene voorwaarden en overeenkomst van opdracht aanpassen (door tenminste een korte toevoeging over privacy);
- Bewaartermijnen in de gaten houden en tijdig gegevens verwijderen (de AVG heeft in principe geen bewaartermijnen voor persoonsgegevens en verwijst naar specifieke regelgeving, zoals de fiscale bewaarplicht. U moet zelf bepalen hoe lang de gegevens nodig zijn voor het doel waarvoor ze zijn verzameld en ze erna (of als een termijn is verlopen) vernietigen.);
- Vooraf toestemming vragen (dit moet de standaard worden op uw website als u een e-mailadres ergens voor wilt gebruiken, maar ook in andere gevallen waarin u niet kunt aantonen dat het verwerken van persoonsgegevens niet strikt noodzakelijk is);
- Een verwerkingsregister/spreadsheet maken (dit zal zeker in het begin even zitten worden, maar het dient wel meerdere doelen. Naast dat het verplicht is voor bedrijven met 250 of meer werknemers is het verplicht voor u als u bijvoorbeeld stelselmatig persoonsgegevens verwerkt. En dit is al snel: denkt u bijvoorbeeld aan een inloopregister of een uitgebreide personeels- of ledenadministratie. Voor administratiekantoren geldt tevens dat de Autoriteit Persoonsgegevens altijd om inzage kan vragen);
- Vraag verwerkingsovereenkomsten op van verwerkers waar u mee te maken hebt en laat er één opstellen als u verwerker bent (bij je boekhouder bijvoorbeeld, maar ook bij Google bijvoorbeeld).
Inbreuk
Laten we niet meer spreken over een ‘lek’, maar over een ‘inbreuk’. Het is namelijk niet zo dat een kleinere ondernemer hier niets mee te maken heeft en dat dit alleen Facebook overkomt. Er is sprake van een inbreuk in de situaties waarin je niet kunt uitsluiten dat er persoonsgegevens worden verwerkt. Dit gaat zo ver als dat u niet kunt garanderen wie er persoonsgegevens heeft gezien op uw computer als u tijdens de lunch naar buiten bent gegaan zonder uw computer te vergrendelen. Dit brengt ons bij het volgende to-do lijstje (wederom niet uitputtend):
- Hanteer een clean desk policy (een paperless office is niet alleen goed voor het milieu);
- Doe uw dossiers achter slot en grendel (zeker als u een kantoorruimte huurt en er andere huurders zijn, maar ook om uit het zicht van de schoonmakers te houden);
- Uw computer vergrendelen bij afwezigheid (als automatisme iedere keer bij het opstaan vergrendelen, zeker als uw collega’s niet dezelfde rechten hebben als u);
- Verschillende gebruikers aanmaken op uw computer met verschillende toegangsrechten (zeker als u uw computer deelt met andere huisgenoten of collega’s);
- Uw inloggegevens niet laten liggen bij uw computer en uw wachtwoorden niet te makkelijk maken (tenminste een gek teken, een hoofdletter en cijfers en niet overal hetzelfde wachtwoord gebruiken);
- Werknemers niet op eigen apparatuur toegang verlenen tot bedrijfsnetwerken of gegevens (denk aan de mail op eigen telefoons of zelfs cloudopslag dat overal in te zien is);
- Ex-werknemers direct toegang ontzeggen tot bedrijfsnetwerken en gegevens (u kunt niet garanderen wat er met de gegevens gebeurt en waar naartoe deze bijvoorbeeld gekopieerd worden);
- Maak zo min mogelijk kopieën van persoonsgegeven (bijvoorbeeld niet naar een USB-stick).
Deze punten zijn ook van belang voor het beleid binnen uw onderneming, bijvoorbeeld voor in de personeelsgids.
U als werkgever
Als werkgever zijn er nog meer ‘to-do’s’ en elementen om rekening mee te houden:
- Een protocol opstellen voor nieuwe werknemers en een informatiebrief sturen aan alle medewerkers (hierin rechten en plichten vermelden. Denk aan het recht op vergetelheid, inzage in personeelsdossiers en om bezwaar te maken);
- Goed in de gaten houden welke persoonsgegevens u verwerkt als werkgever (denkt u aan camerabeelden, gps, chatgeschiedenis, re-integratiegegevens en een prikklok);
- Bewaartermijnen na beëindiging dienstverband in de gaten houden en daarna ook gegevens verwijderen op ALLE plekken (basisbewaartermijn is 7 jaar, voor opgaafgegevens zoals loonheffingen en een kopie van een ID of tewerkstellingsvergunning geldt 5 jaar, voor gegevens zoals arbeidsovereenkomsten en beoordelingsverslagen geldt 2 jaar en voor sollicitatiegegevens geldt 4 weken in principe. Denk ook aan het wissen van printgeschiedenis en de e-mailboxen);
- Toestemming vragen aan werknemers is over het algemeen nutteloos door de gezagsverhouding (doe dit echter wel als u foto en functie e.d. op website wilt vermelden);
- Stel een mediaprotocol op (u mag steekproefsgewijs controleren).
Beveiliging
Dit is een niet-juridisch stukje wat van belang is voor uw bedrijf en uw privacy beleid. Zo vinden wij het schrikbarend dat het beveiligen van uw data op de computer zich uitstrekt tot het beveiligen van alle apparaten op uw werkplek. Wij hebben ons laten vertellen door ICT-professionals dat via de router en uw thermostaat de wifi overgenomen kan worden, waardoor buitenstaanders in uw bedrijf kunnen komen. Elementen om toe te voegen aan uw to-do lijstje zijn dan ook tenminste:
- Niet inloggen op openbare netwerken met apparaten waar u bij uw (bedrijfs-)gegevens kunt;
- Maak een wifigastennetwerk op uw werklocatie en thuis (zo zorgt u ervoor dat anderen niet de verbinding gebruiken die u gebruikt voor uw werk. En uit ervaring: Ja, dit kunt u in principe zelf);
- Updates voor firewalls voor al uw apparaten in de gaten houden en tijdig uitvoeren (dus ook de printer, router, telefoon en thermostaat);
- Codeer uw back-up media (encryptie zou beveiligingsrisico’s verkleinen);
- Internetbescherming (bijvoorbeeld bepaalde pagina’s uitsluiten voor uw werknemers om de kans op virussen te verkleinen);
- Vraag om rapporten van uw beveiliger om te zien of uw antivirus/spyware bescherming werkt (let wel op dat dit uw eigen verantwoordelijkheid blijft);
- Gebruik geen opslag in landen buiten de EU (dit heeft te maken met wettelijke vereisten);
- Blijf controleren of u veilig werkt.
Voor meer informatie over dit onderwerp kunnen wij u uiteraard in contact brengen met een ICT-deskundigen in ons netwerk! Samen Goed Geregeld blijft ons uitgangspunt. Kijk ook op: www.samengoedgeregeld.nl.