De AVG (GDPR). Lig jij er wakker van?
Ongemerkt verzamel je ook als kleine ondernemer veel gegevens over je klanten. En dat is op zich goed. In die data zit je kennis, je netwerk en je omzet. Maar hoe ga je met die gegevens om? Daar waren al afspraken over, maar vanaf mei 2018 wordt het nog belangrijker dat je zelf precies op de hoogte bent van welke persoonlijke informatie je van jouw klanten in huis hebt en hoe je daar mee omgaat.
Vanaf mei 2018 is het namelijk zo ver, toen is de nieuwe wetgeving omtrent gegevensbescherming van kracht geworden.
De begrippen;
AVG: Algemene Verordening Gegevensbescherming
GDPR: General Data Protection Regulation
zijn veel in het nieuws.
Moet je er als kleine onderneming wat mee?
Is deze wet wel uit te voeren voor een zzp'er en kleine mkb'er?
Ja én ja én vooral je hoofd koel houden.
Tot mei 2018 bestaat de wet 'melding persoonsgegevens'. Ben je daar nu ook mee bezig? Zodra je bedrijfsmatig persoonsgegevens verwerkt, die direct of indirect te herleiden zijn naar een natuurlijk persoon dien je dat te melden bij de Autoriteit Persoonsgegevens. In de praktijk wordt dat alleen gedaan door grootverbruikers. Bedrijven die van heel veel personen gevoelige informatie verzamelen. Denk hierbij aan banken, verzekeraars, notarissen, webwinkels. Zij verzamelen zeer gevoelige informatie over hun cliënten. De waarde van die info is voor andere bedrijven en criminelen enorm groot.
Deze wet komt te vervallen zodra de AVG in werking treed. Het vooraf melden van het verzamelen en houden van persoonsgegevens is dan niet meer verplicht.
Hoe zorg je ervoor dat je als 'kleine' ondernemer vóór mei 2018 goed voorbereid bent voor de nieuwe AVG?
Je zult moeten gaan inventariseren, vastleggen en informeren. Begin daar nu al mee.
Inventariseer;
- Hoe verzamel je gegevens van klanten? Alle mogelijke manieren in kaart brengen.
- Welke informatie verzamel je exact? Maak het meest uitgebreide overzicht per klant.
- Is de informatie direct of indirect naar een natuurlijk persoon terug te voeren?
- Verzamel je meer informatie dan je werkelijk voor je bedrijfsvoering nodig hebt?
- Hoe is de informatie beveiligd?
- Is je website via SSL beveiligd?
- Maak je goede back-ups? Hoe (versleuteld) en waar (cloud, kluis, 2e locatie) wordt alles opgeslagen?
- Hoe is je netwerk, laptop, telefoon beveiligd.
- Voor wie is de informatie toegankelijk? Denk hierbij ook aan gezinsleden en (oud)medewerkers.
- Wordt de klantinformatie ook buiten het bedrijf meegenomen? Bijvoorbeeld bij klantbezoeken.
- Welke gegevens en documenten bewaar je nog meer. Soms lijken gegevens niet persoonsgebonden, maar in combinatie met andere informatie zijn ze vaak toch te herleiden naar een persoon.
- Welke software gebruik je om de gegevens digitaal te bewaren? Wordt deze nog door de leverancier ondersteunt en komen er regelmatig updates uit? Voldoet de software aan de eisen om gegevens veilig te bewaren? Let hier vooral op als je de gegevens in een cloud omgeving bewaard. Staan de gegevens in Nederland? Is je provider ook eigenaar van de gegevens?
Verzamel je (als kleine ondernemer) toch grote hoeveelheden informatie over personen, neem dan contact op met een gespecialiseerd bedrijf. Zij kunnen een risicoanalyse uitvoeren en de vervolgstappen vaststellen.
Vastleggen;
Schrijf een draaiboek aan de hand van de geïnventariseerde gegevens. Laat daar in terugkomen wie verantwoordelijk is voor de gegevens, wat er verzameld wordt, waar de gegevens zijn en hoe de betreffende personen/klanten hun eigen gegevens kunnen inzien, aanpassen en verwijderen.
Informeren;
- Ben duidelijk en open tegenover je klanten welke gegevens je verzameld en bewaard en wat je met de verzamelde gegevens doet.
- Waarvoor gebruik je ze en hoe kunnen ze inzage krijgen in wat je over hun vastlegt.
- Vraag altijd toestemming en leg die vast.
- Geef klanten altijd de mogelijkheid om hun eigen gegevens aan te passen of zelfs geheel verwijderd te kunnen worden.
Datalek en beveiligingslek, wat is het verschil?
Zowel een datalek als een beveiligingslek dienen gemeld te worden bij de 'autoriteit persoonsgegevens' én bij de betreffende personen waarvan de gegevens 'mogelijk' in verkeerde handen zijn gekomen.
Het gaat er niet meer om óf er gegevens 'gelekt' zijn maar dat het mogelijk is gebeurt. Het wordt dus erg oppassen.
Bij een beveiligingslek gaat het om een mogelijke inbraak op het systeem. Je netwerk, telefoon, laptop. Dit kan je ontdekken doordat de virusscanner aanslaat, je logboek van je router vreemde toegang ontdekt of omdat je netwerk niet bijgehouden wordt met updates. Bij het vaststellen van een beveiligingslek hoeven er nog geen gegevens gelekt te zijn, maar de kans erop is voldoende. Je kan namelijk niet aannemelijk maken dat niemand van het lek gebruik heeft gemaakt.
Bij een datalek of gegevenslek gaat het om de kansen dat er gegevens in verkeerde handen terecht zijn gekomen.
Voorbeelden werken het beste;
- Je laptop met persoonsgegevens wordt gestolen.
- Je verliest een USB stick met klantgegevens.
- Je geeft oude pc's mee aan een ijzerhandelaar, zonder deze eerst leeg te maken.
- De formulieren van jouw website worden niet via een SSL encryptie verzonden.
- Je werkt met je laptop via een publiek niet beveiligd wifi netwerk.
- Je verzend een e-mail aan al je klanten met alle e-mailadressen in het veld AAN: of CC:
Aan dat soort zaken moet je denken als gegevenslek. Het gebeurt sneller dan je denkt. Dit soort gebeurtenissen zal je allemaal moeten gaan melden.
Meer info via de overheidswebsite 'Autoriteit Persoonsgegevens'.
Scan je bedrijf en netwerk en zorg ervoor dat je er in elk geval alles aan doet om gegevenslekken te voorkomen. Laat zien dat je netjes en bedachtzaam met gegevens van anderen omgaat.
Heb je vragen naar aanleiding van dit artikel of andere zaken? Neem dan contact op voor meer informatie over wat ik voor jou kan betekenen.
Bel of app naar 0653352143 of stuur een e-mail aan
LinkedIn: https://www.linkedin.com/in/hein-meijer