Voldoen aan de AVG norm...
bestaat ook voor ondernemers zonder of met weinig personeel niet alléén uit een formulier invullen die vervolgens automatisch een verklaring opstelt. Waar de AVG vooral voor moet gaan zorgen is jou bewust maken van jouw verzameling persoonsgegevens die je van je klanten en andere relaties bewaart.
- Ga je daar veilig mee om?
- Bewaar je niet van-alles-en-nog-wat dat eigenlijk niet ter zake doet?
- Weten je klanten welke informatie jij vastlegt?
Dat soort dingen dus.
Om jouw bedrijf AVG klaar te maken moet je even stevig doorpakken met;
- Inventariseren,
- Verzamelen,
- Registreren en
- Instrueren
zodat het naleven van de AVG een vertrouwd onderdeel van de bedrijfsvoering wordt.
WELKE x 5
Breng exact in kaart welke gegevens met welk doel en met welk tijdsbestek op welke plek en onder welke bescherming bewaard worden.
Let dan vooral op de volgende punten die vaak worden overgeslagen.
- ICT eerst!
Kijk eerst goed naar de databeveiliging. Zijn al je computers, printers, routers etc. up-to-date bijgewerkt met de meest veilige software?
Als dat namelijk goed in orde is en je ook verzekerd bent van een betrouwbare back-up, dan wordt het voor jou geen 'dweilen met de kraan open'. Voordat je kritisch gaat kijken naar welke gegevens je tot nu verzameld hebt, weet je in elk geval dat wat je hebt veilig opgeslagen is. - Volgt (ook je personeel) een AVG bewustwordingstraining;
- je maakt meteen een gigantische stap in het AVG proces en lig je qua kennis ver voor.
- jijzelf (en je personeel) gaat veel bewuster met persoonsgegevens om en weet meteen waar 'al die drukte' over gaat. Er komt begrip voor de situatie.
- Niet verzamelen om te verzamelen!
Kijk zeer kritisch naar de informatie die je over een persoon verzameld. Alles waarvan je kunt zeggen 'leuk om te hebben/weten' kun je misschien beter verwijderen. Van elk stukje informatie dat je van een persoon hebt moet je namelijk ondubbelzinnig kunnen aangeven waarom je het nodig hebt, hoe lang je het gaat bewaren en op welke manier de betreffende persoon jou daar toestemming voor gegeven heeft. Dit is namelijk één van de punten waar de AP naar gaat kijken.
Verzamel daarom alleen standaard te verantwoorden persoonsgegevens. Wil je meer verzamelen voor bijvoorbeeld specifieke marketingdoeleinden? Let dan op de afspraken over de geautomatiseerde besluitvorming. - Eerlijk en transparant naar je klant.
Probeer niets te verbergen en zorg dat je niets te verbergen hebt. De persoon van wie je gegevens bewaart heeft namelijk het recht op algehele inzage in zijn gegevens. Zorg dus voor een duidelijke in eenvoudige taal geschreven verklaring. Geef meteen gehoor aan verzoeken van klanten die vragen om inzage, verwijdering of aanpassing. Krijg je veel van die verzoeken? Dan adviseer ik om te onderzoeken waardoor dat komt voordat de AP zich ermee gaat bemoeien. - Begrijpelijke taal.
Stel een vriendelijke en begrijpelijke tekst op waarin je duidelijk aangeeft dat je de AVG serieus neemt en op een correcte manier met persoonsgegevens omgaat. De verklaring dient aan een aantal voorwaarden te voldoen, maar de manier van het verwoorden mag je aanpassen aan je eigen 'taal'. Dus op de manier zoals jij normaal gesproken met je klanten communiceert. Heb je (veel) buitenlandse klanten, zorg dan voor een juiste vertaling van je verklaring, ook dat is verplicht. - Eisen aan de website en online media.
- SSL beveiliging van je website is een must. Zeker als je formulieren op je website gebruikt, maar ook omdat Google de websites zonder SSL gaat verbannen waardoor je niet meer via zoekopdrachten vindbaar bent.
- Cookies mogen niet zomaar geplaatst worden. Als je alleen algemene anonieme informatie over je bezoekers wilt: hoeveel bezoekers, welke zoekwoorden, welk type beeldscherm, welke browser, welke pagina's bezocht worden, dan valt dat onder de noemer "website optimalisatie". Een melding dat je alleen technisch functionele cookies gebruikt om de website (beleving) te verbeteren en niet om advertenties te tonen is dan vaak al voldoende.
- Vraag in je formulieren alleen die informatie die op dat moment echt nodig is. Door alle berichtgeving omtrent AVG letten klanten nu extra goed op wat je van ze vraagt. Stuur tevens een kopie van het ingevulde formulier naar de betreffende persoon, dat geeft meteen een blijk van vertrouwen.
- Let goed op wat je op social media plaatst. Plaats zakelijk alleen foto's en verwijzingen naar anderen als je er toestemming voor hebt.
- Let goed op zaken die je in de cloud plaatst. Hoe zijn deze beveiligd en wie kan er bij.
- Let bij e-mail er vooral op dat je bij het aanschrijven van meerdere personen altijd de BCC optie gebruikt.
- Clean desk policy.
Zorg ook voor een opgeruimd kantoor. Zeker de ruimtes waar klanten en leveranciers komen. Informatie over andere klanten die op bureaus rondslingeren en gezien worden door bezoekers zijn officieel een datalek! Maar het is sowieso niet netjes, toch? - Register van verwerking.
Maak (in Excel) een overzicht van alle persoonsgegevens die je verzameld vermeld daarbij de grondslag en bewaartermijn plus hoe de toestemming tot stand gekomen is.
Maak een apart werkblad voor je klanten, relaties én je personeel.
Maak een tabblad om je ICT te beschrijven, welke apparatuur is er, hoe zijn de updates geregeld en wat is je back-up schema.
Mocht je ooit controle krijgen dan is het overleggen van zo'n document een 100% pré! - Verwerkingsovereenkomsten.
Breng alle partijen in kaart met wie je persoonsgegevens uitwisselt en zorg voor goede verwerkingsovereenkomsten. Sla deze op bij de overige AVG documentatie. - Geheimhoudingsverklaring.
Regel dit met je personeel en ingehuurde arbeidskrachten. Als iedereen zich netjes aan de regels houd is er niets aan de hand, maar leg het wel duidelijk vast.
Dit overzicht is bedoeld om je te laten denken aan die extra of bijkomende zaken die vaak worden vergeten. Wil je meer weten, twijfels of loop je ergens vast in je AVG avontuur?