Als je persoonsgegevens opslaat, moet je voldoen aan de AVG. Iedere organisatie in Nederland heeft te maken met de algemene verordening gegevensverwerking. Naast klantgegevens sla je ook personeelsgegevens op. Daarin maak je onderscheid tussen naw-gegevens en bijzondere data over o.a. geloof en seksuele voorkeur.
Voldoen aan AVG
Vanaf 25 mei 2018 moet elke organisatie die gegevens opslaat en verwerkt aan de algemene verordening gegevensverwerking (AVG) voldoen. Voor veel bedrijven, verenigingen en stichtingen is dit een grote klus. Wij leggen in vijf concrete stappen uit hoe je aan de AVG eisen kunt voldoen.
1. Maak een schema
Maak per groep een kort overzicht. Bijvoorbeeld: van mijn personeel sla ik de namen, adressen, bankrekeningen en geboortedata op. Van mijn klanten sla ik de namen, adressen en e-mailadressen op. Zet daar ook bij in welke systemen je dat doet. Bijvoorbeeld in je boekhoudsoftware, webshop en CRM-systeem. Vanzelfsprekend is dit wel even een werkje, maar het maakt je bewust van wat je allemaal opslaat. Wellicht zitten daar ook onnodige handelingen tussen waarmee je zelf meer efficiency in je organisatie kunt doorvoeren.
2. Bepaal de grondslag van de verwerking
Om gegevens te mogen verwerken, moet je een grondslag uit de AVG hebben. De AVG kent 6 grondslagen waar je uit moet kiezen. De 4 meest relevante zijn:
- Het uitvoeren van een overeenkomst. bijv. een arbeidsovereenkomst of koopovereenkomst;
- Je hebt toestemming van degene van wie je gegevens verwerkt;
- De organisatie is het wettelijk verplicht bijv. door een fiscale verplichting, zoals de loonbelasting;
- Je hebt een gerechtvaardigd belang. Deze grondslag moet je goed onderbouwen, je kunt niet zo maar stellen een gerechtvaardigd belang te hebben.
De andere 2 grondslagen die minder vaak gebruikt worden:
- Het is noodzakelijk om vitale belangen te beschermen;
- Het opslaan is noodzakelijk om een taak van algemeen belang of openbaar gezag uit te oefenen.
3. Zorg voor een privacyverklaring
De AVG verplicht je om degene van wie je gegevens vastlegt te informeren. Dit doe je met een privacyverklaring. Stel een privacyverklaring op voor de partijen van wie je gegevens vastlegt. Maak een privacyreglement en gebruik het schema uit stap 1 als uitgangspunt.
4. Zorg voor een protocol datalekken
Als er persoonsgegevens kwijtraken is dit een datalek. Voor het geval dit gebeurt stel je een protocol datalekken op. Dit protocol volg je op het moment dat er persoonsgegevens gelekt zijn.
5. Stel een verwerkersovereenkomst op
Als je bij het opstellen van het schema in Stap 1 hebt geconstateerd dat je persoonsgegevens aan een andere partij overdraagt dan moet je een verwerkersovereenkomst afsluiten. Een verwerker is bijvoorbeeld de cloudtoepassing waar je de gegevens opslaat, het IT-bedrijf dat back-ups van je computersysteem maakt.
Boetes bij niet voldoen aan AVG
De Autoriteit Persoonsgegevens kan boetes opleggen bij het niet voldoen aan de AVG. In de praktijk zijn op dit moment alleen grote organisaties aangepakt. Het is niet te verwachten dat er ooit voldoende capaciteit zal zijn om alle bedrijven en organisaties in Nederland te controleren. Maar dat is natuurlijk anders als er een klacht tegen je wordt ingediend.
