Uw organisatie AVG proof maken? Zo werkt het in 2020

De Algemene Verordening Gegevensbescherming, ofwel de AVG heeft bij veel bedrijven voor aardig wat verandering gezorgd. De Europese Unie nam twee jaar geleden een nieuwe wet aan waarbij de persoonsgegevens beter beschermd moeten worden. Dat is enerzijds goed nieuws, we willen tenslotte niet dat anderen er met onze gegevens vandoor kunnen gaan. Anderzijds zorgt dit bij veel bedrijven voor een hoop gedoe. Want hoe zorgt u ervoor dat uw organisatie volledig AVG proof gemaakt kan worden? Onze privacy-experts helpen u verder op weg door een aantal nieuwe bepaling uit te leggen. Ons team van ervaren professionals levert allerlei oplossingen, zodat uw organisatie binnen de kaders van de privacy wet- en regelgeving uw voordeel te behalen. Bekijk hier onze services.

De AVG zorgt voor betere bescherming van de persoonsgegevens, maar wat betekent het voor uw organisatie?

Wat is de Algemene Verordening Gegevensbescherming?

Om te beginnen is het belangrijk om te weten wat de Algemene Verordening Gegevensbescherming precies is. Het is dan wel bekend dat klantgegevens dankzij deze wet beter beschermd worden, maar wat het voor een organisatie doet, blijft vaak achterwege. Een gebruiker zal er zelf vrij weinig van meekrijgen, behalve dat er vaker toestemming gegeven moet worden om cookies en dergelijke te accepteren. Als organisatie zit er toch veel meer achter.

Welke organisaties moeten aan de AVG voldoen?

De Europese privacywet geldt niet alleen voor bedrijven. Het geldt namelijk voor álle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers hebben hier dan ook mee te maken, ook de zzp’ers en klein mkb. Daarnaast geldt de wet voor scholen, zorginstanties, verenigingen en stichtingen.

Welke grote veranderingen brengt de AVG met zich mee?

Vooral bedrijven die veel te maken hebben met persoonsgegevens zullen grote verschillen gaan merken. Deze wet zorgt ervoor dat mensen meer mogelijkheden hebben om voor zichzelf op te komen wat betreft de verwerking van hun persoonlijke gegevens. Hierdoor heeft deze wet zowel positieve, als ingrijpende gevolgen voor bedrijven. De grootste veranderingen waar organisaties mee te maken krijgen, is dat u als bedrijf een inhoudelijk beter bereik op uw marketingacties kunt toepassen. Dat zorgt ervoor dat de marketingkosten relatief gezien een stukje lager worden.

Toch zit er ook een moeilijkere kant aan de AVG wet. Veel bedrijven wisten voordat deze wet van toepassing was wel dat klantgegevens belangrijk waren om te beschermen, maar écht heel veel aandacht kreeg dit niet. Ook was het vaak onduidelijk hoe zij de rechten van de klant moesten beschermen. De AVG wet zal in deze voor een flinke omschakeling zorgen.

Wat levert de AVG u op?

Hoewel de AVG in eerste instantie vooral voor een hoop extra werk zorgt, levert het voor u als bedrijf uiteindelijk wel iets op. Bijvoorbeeld wanneer uw bedrijf in meerdere EU-lidstaten actief is. Sinds de AVG van kracht is, is er nog maar één privacywet, in plaats van 28 verschillende nationale wetten, geldend in heel Europa. Dit geeft een aantal praktische voordelen, want nu heeft uw bedrijf minder administratieve lasten en nalevingskosten, u heeft meer rechtszekerheid en er is een gelijk speelveld, want alle bedrijven hebben dezelfde regels binnen de EU. Tot slot hoeft uw organisatie nog maar met één toezichthouder zaken te doen.

Zo wordt uw organisatie AVG proof

We leggen u graag uit hoe u uw organisatie helemaal AVG proof kunt maken.

Data Protection Impact Assessment (DPIA)

De Data Protection Impact Assessment, ofwel de DPIA is een instrument om vooraf te kunnen bepalen wat de privacyrisico’s van een gegevensverwerking zijn. Hierna kunnen maatregelen getroffen worden om deze risico’s zoveel mogelijk te verkleinen.

In sommige gevallen zijn organisaties of bedrijven verplicht om een DPIA uit te voeren. Voornamelijk de bedrijven waarbij de persoonsgegevens risicogevoelig zijn. Het is aan de verwerkingsverantwoordelijke om te bepalen of dit zo is of niet. Hebben de gegevens een hoog privacy risico, dan mag er niet gestart worden met het verwerken hiervan voordat er een DPIA is uitgevoerd.

Het vastleggen van privacygevoelige informatie in een verwerkingsregister

Sinds de nieuwe wet bent u als bedrijf verplicht om aan te tonen waar de privacygevoelige informatie opgeslagen wordt en wie hier verantwoordelijk voor is. Maar ook wie bij deze gegevens kan komen en op welke manier precies. Al deze informatie moet vastgelegd worden in een verwerkingsregister.

Stel een geldige verwerkersovereenkomst op

Wanneer er iemand ingeschakeld wordt voor het verwerken van bijvoorbeeld de salarisadministratie of bij marketingacties waarbij klantgegevens worden opgeslagen, dan is het aan u de taak om ervoor te zorgen dat uw gegevensverwerker een gerechtvaardigde reden heeft om uw gegevens te gebruiken. Een andere optie is om een verwerkersovereenkomst op te stellen. Zo bent u er als bedrijf zeker van dat deze verwerker op een juiste wijze de gegevens van uw klanten verwerkt.

Meldplicht voor datalekken

Sinds 2016 is het in Nederland verplicht om datalekken te melden. Dat betekent dat organisaties, zowel bedrijven als overheden, verplicht zijn om direct een melding te maken bij de Autoriteit Persoonsgegevens zodra zij een datalek hebben. In sommige gevallen moeten zij het datalek ook melden aan de betrokken personen van wie de persoonsgegevens zijn gelekt.

De rechten van uw bezoekers

Het is belangrijk om te weten dat de bezoekers van uw website recht hebben op een aantal onderdelen. Namelijk:

  • De bezoeker heeft recht op inzage. Uw klant moet in kunnen zien welke gegevens er van hem of haar zijn opgeslagen.
  • De bezoeker heeft recht op dataportabiliteit. Dat betekent dat uw klant een, eventueel geautomatiseerd, overzicht moet kunnen krijgen van alle gegevens die van hem of haar zijn opgeslagen. Ook heeft hij of zij het recht om deze gegevens door te geven aan andere organisaties. Dit is bijvoorbeeld in het geval van een verzekeraar. In dit geval mag de klant de lijst met bezittingen opvragen om deze voor te leggen aan een andere partij.
  • Tot slot heeft de bezoeker het recht om vergeten te worden. Dit betekent dat een klant mag vragen om al zijn of haar gegevens uit uw systemen te laten verwijderen. Hier moet wel rekening gehouden worden met de wettelijke minimale bewaartermijn.

Geef uw sitebezoekers de keuze

Het is niet meer toegestaan om meer gegevens te verzamelen dan nodig is om uw website draaiende te houden en voor het doel waarvoor u de website wilt gebruiken. De gegevens mogen ook niet onnodig lang bewaard worden dan het voor doel noodzakelijk is. Daarnaast heeft u de verantwoordelijkheid om ervoor te zorgen dat de klant een bewuste actie moet uitvoeren om te accepteren dat u zijn of haar gegevens mag gebruiken. Een checkbox in een formulier om bijvoorbeeld de cookies te accepteren, mag niet meer automatisch aangevinkt staan.

Vraag toestemming op een duidelijke manier

Het is van belang om als organisatie op een zo duidelijk mogelijke manier toestemming te vragen aan de bezoeker. Als u de gegevens van de klant voor een ander doel wilt gebruiken dan het doel waarmee hij of zij deze gegevens heeft gedeeld, dan is het aan u om te vragen of hij of zij hiermee akkoord gaat. Deze vraag mag niet tussen neus en lippen door gesteld worden, maar u moet hier expliciet toestemming om vragen. Deze toestemming moet vervolgens apart opgeslagen worden, zodat de klant de mogelijkheid heeft om zijn of haar toestemming op een makkelijke manier weer in te trekken.

Functionaris voor de gegevensbescherming aanstellen

Voor overheidsinstanties, zorg- en onderwijsinstellingen en organisaties die voor hun kernactiviteit veel gegevens moeten vastleggen, is het verplicht om een Data Protection Officer (DPO) oftewel een Functionaris voor Gegevensbescherming (FG) aan te stellen. Deze persoon zorgt ervoor dat alle regels goed nageleefd worden en dat alle gegevens veilig opgeslagen worden. Maar ook dat het gebruiken en versturen van deze gegevens op een veilige manier gebeurt.

Zorgvuldigheid en precisie bij uw werknemers

Tot slot is het belangrijk dat al uw medewerkers op de hoogte zijn van deze regels. Het is belangrijk dat deze met zorgvuldigheid en precisie worden nageleefd, zodat er geen fouten gemaakt worden. De medewerkers dienen op de hoogte te zijn welke gegevens zij echt nodig hebben en bij welke gegevens zij geen recht van inzage hebben.

Bereik uw klanten op een ‘AVG proof’ manier

Om uw klanten op de juiste manier te kunnen bereiken, is het van belang om te weten hoe je dit het beste aan kunt pakken. Een paar tips om uw klanten op een AVG proof manier te bereiken leggen we graag aan u uit.

Email marketing en AVG

Het is nog steeds mogelijk om als bedrijf gebruik te maken van email marketing. Je moet wel aan een aantal eisen voldoen. Zo moeten abonnees van e-mail nieuwsbrieven zelf aangeven of zij emails willen ontvangen of niet. De kans is groot dat de lijst van email abonnees een stuk kleiner wordt, maar daarentegen zijn dit wel de juiste mensen die echt geïnteresseerd zijn.

AVG en Telemarketing

Bij bellen is het juist het tegenovergestelde als bij email marketing. Hierbij geldt: er mag gebeld worden, tenzij de klant aangeeft dit niet meer te willen.

AVG en social media

Als uw bedrijf gebruik maakt van social media, dan is ook dit een onderwerp om rekening mee te houden. Zo is de inzetbaarheid van targeting opties veranderd, mogen bedrijven de gegevens niet zomaar meer gebruiken voor social media-activiteiten en moet de communicatie naar de gebruiker toe wat betreft het gebruik van de gegevens duidelijk vermeld worden.

Uw eigen website

Hoe zit het nu eigenlijk met uw eigen website? Verzamelt u als bedrijf in principe geen gegevens van uw klanten, dan wordt er al snel gedacht dat deze AVG regels niet voor u bedoeld zijn. Toch is dat niet altijd het geval. Wanneer u “slechts” een blog als website heeft waarbij mensen bijvoorbeeld een reactie kunnen achterlaten, verzamel je (al dan niet onbewust) al gegevens. Ook hier is het belangrijk om transparant te zijn en om dit te vermelden op de website.

Hulp nodig bij AVG proof worden?

Heeft u vragen over hoe het precies zit met uw organisatie? Wij ondersteunen uw organisatie hier graag bij.

De voordelen van DPO Consultancy

DPO Consultancy begeleidt organisaties bij hun Privacy Journey waardoor alle aspecten van Data Privacy in uw dagelijkse bedrijfsvoering geborgd worden. Onze Privacy Journey kenmerkt zich door op een pragmatische wijze uw organisatie te ondersteunen, waarbij Data protectie en Privacy integraal onderdeel worden van uw bedrijfsvoering en u zorgeloos uw digitale strategie tot leven kunt brengen.

Ons portfolio bestaat inmiddels uit organisaties van verschillende omvang in verschillende branches, uit verschillende landen. We helpen zowel bedrijven uit Nederland, maar ook uit onder andere Noorwegen, de Verenigde Staten, Azië en Australië.

Wanneer heb je een DPO nodig?

Toen de AVG werd ingevoerd, was er een grote vraag naar hulp van experts. Veel bedrijven en organisaties wisten niet waar ze aan begonnen en konden deze hulp goed gebruiken. Wij bieden deze hulp aan en willen daarmee laten zien dat de AVG niet alleen maar voor beperkingen zorgt, maar ook deuren opent voor nieuwe kansen. DPO Consultancy is een jonge organisatie, opgericht op het moment dat de markt hierom vroeg. We zijn één van de weinige partijen die zich volledige focust op Privacy en Dataprotectie. Dat is onze 100% passie!

Heeft u interesse in een gesprek of consultancy? Neem dan contact met ons op via 085-0711080 of stuur ons een bericht naar info@dpoconsultancy.nl.

avg_audit1
Privacy consultant DPO consultancy