AVG – wat is het en waar moet je op letten?

Het kan je als bedrijf niet zijn ontgaan, het ingaan van de AVG op 25 mei 2018. Maar wat is de AVG nou precies, waarom is het voor jou als bedrijf belangrijk en waar moet je op letten bij deze wet?

In het Nederlands staat deze verordening bekend onder de afkorting AVG, Algemene Verordening Gegevensbescherming. De Engelse afkorting is echter GDPR en staat voor General Data Protection Regulation. Mocht je dus de termen AVG of GDPR tegenkomen: ze betekenen hetzelfde. Dat het een verordening is, wil zeggen dat regels direct in werking zijn getreden. Het doel van de GDPR is om regels op te stellen voor het verwerken van persoonsgegevens door particuliere bedrijven maar ook overheidsinstanties. Deze verordening heeft als doel dat alle regels in de Europese Unie hiermee worden gestandaardiseerd. De regels gelden dus voor iedereen die ook maar iets met persoonsgegevens te maken heeft, niet alleen bedrijven die geld verdienen met hun product of dienst, maar ook stichtingen en vrijwilligersorganisaties moeten aan de verordening geloven.

De AVG is een vervanging van de databeschermingsrichtlijn, afkomstig uit 1995. Deze richtlijnen sloten echter niet meer aan bij de digitale maatschappij waar we nu in leven. De huidige AVG is in mei 2016 al in werking getreden en bedrijven hadden tot 25 mei 2018 de tijd om aan de eisen te voldoen. Dit betekent dus dat je met je bedrijf ondertussen al moet voldoen aan de eisen van de AVG, zo niet, dan is het belangrijk dat je dit snel regelt.

Waarom is de AVG belangrijk voor bedrijven?

De regels van de AVG gelden dus voor iedereen die in aanraking komt met persoonsgegevens, hoe groot of klein je bedrijf ook is. Voldoe je niet aan de eisen? Dan hangt er een boete van tot wel 20 miljoen Euro boven je hoofd of 4% van je wereldwijde omzet. Dat wil je natuurlijk voorkomen en daarom is het belangrijk dat je zo snel mogelijk ervoor zorgt dat je je zaken op orde hebt.

Nu heeft de GDPR niet gelijk te maken met allerlei ingewikkelde zaken zoals sommige mensen denken. Bij het verzenden van een factuur of het verspreiden van een nieuwsbrief is er al sprake van het beheren van persoonsgegevens. Maar ook het bijhouden van een agenda met klanten, het opslaan van contactgegevens van een klant of het onderhouden van een personeelsbestand vallen allemaal onder deze regeling.

De AVG zorgt er eigenlijk voor dat je de plicht hebt om jezelf te verwantwoorden. Je moet kunnen aantonen dat jij en je bedrijf de juiste organisatorische en technische maatregelen hebben genomen om te kunnen voldoen aan de regels van de AVG. Daarbij is het belangrijk dat je kunt aantonen dat je een geldige toestemming hebt gekregen van een persoon bij het verwerken van zijn of haar persoonsgegevens. Zo moet een klant toestemmen geven voor het feit dat jouw bedrijf zijn of haar e-mailadres opslaat zodat je een nieuwsbrief naar deze persoon kunt sturen.

Nu klinkt de GDPR voornamelijk negatief, het kost immers meer tijd en werk voor jouw bedrijf om aan de juiste eisen te voldoen. Maar het doel is natuurlijk om uiteindelijk voor een veiligere online omgeving op het gebied van persoonsgegevens te creëren. De AVG richt zich nu nog vooral op bedrijven binnen de EU, maar het houdt zich ook bezig met de beveiliging van persoonsgegevens die worden overgedragen aan bedrijven die buiten de EU liggen. Deze overdrachten kunnen alleen plaatsvinden wanneer de externe organisaties ook voldoen aan de regels van de AVG.

Daarnaast kan de GDPR op de lange termijn zorgen voor een betere productiviteit. In het begin is het redelijk wat werk om alles op orde te krijgen, je wordt immers gedwongen om tijd en energie te steken in het herzien van een heleboel processen binnen je bedrijf. Uiteindelijk zal je merken dat je datastructuur veel overzichtelijker en efficiënter wordt om mee te werken. Ook wordt je klantenbestand een stuk betrouwbaarder en accurater nu je klanten ook meer moeten nadenken over de gegevens die ze met je willen delen, of niet. Daarbij vinden klanten het ook een fijn idee als jouw bedrijf vertrouwelijk omgaat met hun informatie. Dit maakt een bedrijf betrouwbaarder en transparanter, wat goed is voor het imago van je bedrijf.

Waar moet een bedrijf op letten bij de AVG?

Helaas is er niet zomaar een checklist die je kan afwerken om te voldoen aan de juiste eisen. Vooral voor kleinere bedrijven kan het daarom nog weleens ingewikkeld zijn om te voldoen aan de regels van deze verordening. Het verschilt ook per bedrijf wat voor maatregelen er allemaal moeten worden getroffen om te voldoen aan de eisen van de AVG.

Op de website van de Kamer van Koophandel is een 10-stappenplan te vinden waar grofweg wordt uitgelegd waar je onder andere allemaal op moet letten. Als je nog helemaal geen beeld hebt van deze nieuwe verordening, dan is het zeker even de moeite waard om dit stappenplan door te nemen.

Eén van de onderdelen die je in dit stappenplan zult terugvinden, is het uitvoeren van een DPIA. DPIA staat voor Data Protection Impact Assessment. Door dit assessment uit te voeren, kan je alle risico’s in kaart brengen die te maken hebben met jouw bedrijf en de manier waarop je met persoonsgegevens omgaat. Voor sommige bedrijven is het zelfs verplicht om zo’n assessment uit te laten voeren. Dit gaat vooral om organisaties waarbij de gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen.

Stel je hebt persoonsgegevens nodig van een extern bedrijf om een project uit te kunnen voeren, door het uitvoeren van een DPIA krijg je een helder beeld wat de risico’s en gevolgen zijn van de privacy van de betrokkenen. Uit de DPIA kan ook komen dat jouw bedrijf te veel risico’s loopt en dat de bescherming van de gegevens niet kan worden gewaarborgd, in dat geval is het belangrijk dat er direct gaat worden nagedacht over eventuele maatregelen om het probleem op te lossen.

De AVG is een hulpmiddel, geen straf

Ja, de AVG zorgt voor strenge regels waar bedrijven aan moeten voldoen, maar overdrijven is ook een kunst. De kern van de regeling is dat je toestemming krijgt om de persoonsgegevens van iemand te verwerken en dat je zorgvuldig met deze gegevens omgaat, zonder dat er een risico bestaat dat de gegevens bijvoorbeeld worden gestolen of worden gebruikt voor een project waar geen toestemming voor is gegeven.

Sommige bedrijven zien de AVG echter als een regeling waardoor niks meer mag. Recentelijk kwam er een nieuwsbericht naar boven over een kind dat aan het eind van dit schooljaar zijn schoolfoto’s mee naar huis mocht nemen. Wat bleek, op alle foto’s waren de gezichten van alle personen met een stift zwart gemaakt. Dit om te voorkomen dat ouders de school kunnen aanklagen dat er zomaar foto’s zijn gemaakt. Dit is natuurlijk niet de manier waarop met de GDPR moet worden omgegaan. Het zwart maken van de gezichten is eigenlijk een soort smoes voor het feit dat de school de ouders niet om toestemming heeft gevraagd.

Kortom ziet de AVG of GDPR er in eerste instantie uit als ingewikkelde regeling die alleen maar voor moeilijkheden zorgt. Maar als je er even wat tijd en energie in stopt, voldoe je binnen no-time aan de eisen van de regeling en zorgt dit er ook gelijk voor dat processen binnen je bedrijf met betrekking tot dataverzameling soepeler gaan verlopen. Wat indirect weer zorgt voor meer vertrouwen van de klant.

Laat een reactie achter

Contact

We kunnen helaas nu even niet reageren, maar je kunt altijd een berichtje achter laten! We proberen altijd binnen 48 uur te reageren!

Niet leesbaar? Verander tekst. captcha txt