nieuws

Stappenplan AVG: In 8 stappen klaar voor 25 mei

Digitaal werken

Nu je de urgentie, inhoud en gevaren van de AVG-wet kent is het tijd voor actie! Met dit stappenplan stoom je jezelf klaar voor de AVG, zodat je op 25 mei niet hoeft te denken ‘help, wat gaat er gebeuren’. Nee, je kunt de ingangsdatum van de AVG met een gerust hart tegemoet zien. Jij bent voorbereid!

Stappenplan AVG: In 8 stappen klaar voor 25 mei

Meer weten? Lees de eerdere artikelen op Management Support over de AVG. Hierin leggen we uit waarom jij als managementondersteuner echt op de hoogte moet zijn van de AVG. Waarschijnlijk heb je ook nog wel wat vragen over de AVG, en dus geven we antwoord op de tien meest gestelde vragen.

Stap 1: Ken de AVG-wet

Kennis is macht en bij de AVG geldt dat helemaal; de wet staat vol met nieuwe begrippen en regels. Die moet je kennen en begrijpen als je met persoonsgegevens werkt. In het begin misschien even een flinke uitdaging, maar het betaalt zich uit.

  • Wat moet je minimaal weten?
  • Wat onder persoonsgegevens, bijzondere persoonsgegevens en de verwerking ervan valt.
  • Heeft jullie bedrijf een Functionaris voor de Gegevensbescherming (FG) en wie dat is.
  • Welke persoonsgegevens je verwerkt en hoe en of dit in een intern verwerkingsregister geregistreerd moet worden.
  • Wat een datalek is en waar je dit in je organisatie moet melden.
  • Welke rechten je zelf hebt en hoe je deze uitoefent. Als je je eigen rechten kent, begrijp je die van anderen beter.

Hoe kom je dit te weten?

Stap 2: Schud aan de boom

Waarschijnlijk ben jij binnen jouw organisatie niet de persoon die besluit dat er iets met de AVG moet gebeuren. Tegelijkertijd weet je waarschijnlijk wel wie die persoon is. Ga flink aan de boom schudden om het onderwerp op de agenda te krijgen. Een paar goede argumenten voor je zaak:

  • De AVG gaat niet weg, dit is geen hype. Het is niet zo dat de wet nooit aangepast wordt, maar je blijft hier tot in lengte van dagen mee te maken houden. Je kop in het zand steken leidt tot niks goeds.
  • Het is belangrijk om het vertrouwen van je medewerkers, klanten en leveranciers te behouden.
  • Er zullen zeker oud-klanten zijn die bijvoorbeeld hun recht op vergetelheid gaan uitoefenen. Geef je hier geen gehoor aan, dan kunnen ze klagen bij de AP en heb je ineens een onderzoek aan je broek hangen.
  • Een overtreding van de AVG kan leiden tot forse boetes, tot maar liefst €20 miljoen of 4% van de wereldwijde omzet.
  • Onder de AVG kunnen bestuurders persoonlijk aansprakelijk gesteld worden. Dit soort boetes mag je volgens de wet ook niet verzekeren. Handelt een directeur dus tegen de AVG, dan voelt niet alleen het bedrijf het in de portemonnee.

Stap 3: Inventariseer welke persoonsgegevens je verwerkt

Plan een meeting met je collega-ondersteuners, pak pen en papier en ga brainstormen. Welke taken hebben jullie waarbij je persoonsgegevens verwerkt? Welke persoonsgegevens zie je in? Zijn er andere collega’s betrokken bij de verwerking van persoonsgegevens? Hoe is de data eigenlijk beveiligd? Welke procedures volgen jullie nu?

Haal zoveel mogelijk boven tafel en ga door naar stap 4.

Stappenplan AVG: In 8 stappen klaar voor de AVG

Stap 4: Registreer het wat, waarom en hoe lang

Om te voldoen aan de verantwoordingsplicht onder de AVG moet je een register van verwerkingsactiviteiten bijhouden. Of in ieder geval: in de meeste gevallen. In dit register moeten een aantal zaken staan en je moet bijhouden welke gegevens er geregistreerd worden.

De eerste stap is om bij de FG of leidinggevende te vragen naar het verwerkingsregister en wat hier in staat of moet staan. Als het register voor jouw bedrijf al is opgesteld is het belangrijk dat je controleert of wat erin staat, overeenkomt met jouw werkzaamheden.

Voor een volledig overzicht van de verantwoordingsplicht en inhoud van een verwerkingsregister kijk je op de site van de AP.

Stel: jij bent verantwoordelijk voor klantenlijsten in het CRM-systeem. In het verwerkingsregister moet vervolgens staan welke gegevens van klanten worden vastgelegd, met welk doel en hoe lang ze bewaard worden.

Is er geen verwerkingsregister? Dan zal dit in 99% van de gevallen opgesteld moeten worden. In hoeverre je daar zelf bij betrokken kan en wil zijn zal voor iedere managementondersteuner verschillen. Wel is het belangrijk dat je in ieder geval de resultaten van je brainstormsessie uit stap 3 deelt met de opsteller.

Stap 5: Doe aan privacy by design en privacy by default

De AVG vraagt van organisaties dat ze de privacy van de gebruikers bij het aanbieden van producten en diensten voorop zetten. Dit wordt privacy by design en privacy by default genoemd.

Privacy by design

Een heel simpel voorbeeld van privacy by design voor de managementondersteuner is geen ID-bewijzen van nieuwe medewerkers per e-mail verzamelen. Laat de nieuwe werknemer voor de start van het dienstverband langskomen of maak op de eerste werkdag een kopie. E-mail is niet veilig genoeg om een document met een BSN-nummer te verzenden.

Privacy by design & default

Privacy by design houdt in dat er tijdens de ontwikkeling van systemen rekening wordt gehouden met de privacy van gebruikers. Het gaat dan om privacy enhancing technologies (PET) en dataminimalisatie, zo min mogelijk persoonsgegevens verwerken.

Privacy by default betekent dat alleen de persoonsgegevens die strikt noodzakelijk zijn worden verwerkt. Onder privacy by design vraag je bij een webshop bestelling niet gegevens dan noodzakelijk om de bestelling te versturen. Vraag je ook of een bezoeker de nieuwsbrief wil ontvangen? Dan mag dit vakje niet standaard aangevinkt staan.

Extra tip: blijf bij het kopieerapparaat, terwijl de kopie wordt gemaakt. Een collega die een printje komt halen en de kopie ziet veroorzaakt een datalek.

Dataminimalisatie is tevens een onderdeel van privacy by design. Maak jij de lijst met gekozen kerstpakketten en stuur je die op naar de leverancier? Bedenk dan wat die leverancier nodig heeft. Vaak is dat niet meer dan een voorletter, achternaam en gekozen pakket. Heb je zelf bij de aanmelding nog gevraagd naar dieetwensen voor de kerstborrel? Haal deze kolom uit het document dat naar de leverancier gaat, dat hoeven zij niet te weten voor het uitvoeren van hun taak.

Privacy by default

Vraagt de app van jouw bedrijf om toegang tot de locatiegegevens van een gebruiker terwijl dit niet nodig is? Dan gaat er iets mis op het gebied van privacy by default.

Stap 6: Vraag toestemming en leg die toestemming vast

Regel jij vergaderingen waarbij externen betrokken zijn? Vraag dan eerst toestemming om deze externen toe te voegen in het vergaderverzoek. Hun e-mailadressen zijn daar zichtbaar en dat is een persoonsgegeven. Leg de toestemming ook expliciet vast. Stuur een e-mail met de vraag om toestemming en bewaar deze op een plek waar je die makkelijk kunt vinden.

Nog even terug naar die kerstpakketten. Medewerkers moeten toestemming geven voor het doorgeven van hun gegevens aan de leverancier. Dit mogen ze ook weigeren, want er bestaat geen wettelijke grond voor het verstrekken van die gegevens. De beste optie voor die kerstpakketten is dus eigenlijk alleen de aantallen per pakket door te geven en ze zelf aan de juiste medewerker te geven.

In bepaalde gevallen kun je uit een handeling van een klant ook opmaken dat er toestemming verstrekt is. Een klik op een link als bevestiging van aanmelding voor de e-mailnieuwsbrief wordt gezien als expliciete toestemming. Leg dit proces wel goed vast, want je moet bij de AP kunnen aantonen dat al je nieuwsbriefabonnees toestemming hebben gegeven. Dat geldt vanaf 25 mei ook voor mensen die zich in het verleden hebben aangemeld.

Verwerkingsgrondslagen

Overigens hoef je niet altijd toestemming te hebben, er zijn verschillende gronden op basis waarvan je persoonsgegevens mag verwerken:

  • Overeenkomst: dit geldt voor een klant die een abonnement of dienst afneemt. Je mag hier gegevens van verwerken die nodig zijn om de overeenkomst uit te voeren.
  • Toestemming: een expliciet aangevinkt hokje, een handtekening op een formulier, een ‘ja, dat mag in een e-mail’. Let er wel op dat je gegevens alleen mag gebruiken waarvoor die persoon toestemming heeft gegeven en niet voor andere doeleinden. Je mag de gegevens van iemand die zich abonneert op je nieuwsbrief dus niet doorgeven aan een adverteerder, tenzij ook daar toestemming voor is.
  • Wettelijke verplichting: denk aan de bewaartermijn voor facturen, of de verplichting een kopie ID van een werknemer te hebben.
  •  Vitale belangen: een patiënt die buiten bewustzijn in het ziekenhuis wordt binnengebracht kan geen toestemming geven, maar moet wel behandeld worden.
  • Algemeen belang of openbaar gezag: alleen van toepassing op instanties die een publieke taak uitoefenen. Dit kan het cameratoezicht van een gemeente zijn in de openbare ruimte voor de openbare veiligheid.
  • Gerechtvaardigd belang: het meest grijze gebied en daarom gelden hier ook extra eisen. Naast het gerechtvaardigd belang moet de verwerking noodzakelijk zijn om dit gerechtvaardigd belang te behartigen. Er moet een afweging gemaakt zijn tussen het eigen belang en het belang van de personen van wie persoonsgegevens verwerkt worden. Het voeren van een personeelsadministratie valt onder dit belang. Overheidsinstanties mogen zich niet op deze grondslag baseren voor de uitoefening van hun taken, dat valt namelijk onder algemeen belang of openbaar gezag.

Stap 7: Zorg voor verwerkersovereenkomsten

Werk je met een administratiekantoor voor de loonverwerking? Boekt een reisbureau zakenreizen voor je werknemers? Of sla je persoonsgegevens op in Sharepoint, een systeem van Microsoft? Dan moet je verwerkersovereenkomsten afsluiten met deze bedrijven.

Inventariseer met welke bedrijven jij samenwerkt. Overleg vervolgens met de FG om te kijken of er verwerkersovereenkomsten zijn. Zo niet, laat die opstellen en ondertekenen door de externe partij. Heeft jouw bedrijf geen FG en geen verwerkersovereenkomsten? Laat die laatste dan zo snel mogelijk maken.

Tip!

In het vraag & antwoord-artikel over de AVG worden de onderdelen van een verwerkersovereenkomst genoemd. Het inschakelen van een derde partij is in dit geval het meest verstandige. Er zijn vele aanbieders van standaard verwerkersovereenkomsten te vinden. Ga niet zelf pielen als je geen jurist bent.

Stap 8: Ruim op, gooi weg. Of nee, vernietig!

De laatste, en tevens leukste, stap van dit stappenplan: puinruimen! De AVG is een fantastisch excuus om een grote voorjaarsschoonmaak te houden. Blokkeer samen met je collega’s een dag in de agenda, trek je oude kleren aan en haal al die stoffige kasten leeg.

Floppydisks uit de jaren ’90 waarvan niemand meer weet wat erop staat? In de vernietiger! Een stapel oude kapotte pc’s? Schroef de harde schijven eruit en laat die vernietigen. Personeelsdossiers van mensen die al jaren uit dienst zijn? Door de versnipperaar. Nu moet je niet rücksichtslos alles wat los en vast zit weggooien, maar bedenk bij alles wat je in je handen hebt ‘moet dit bewaard’? Maak desnoods een voorselectie en laat een leidinggevende de definitieve keuze maken.

Vergeet niet dat je voor de zaken die je bewaart wel goed moet vastleggen waarom je dit doet en hoe lang. Bovendien moet er een duidelijke grondslag zijn voor het bewaren van die gegevens.

Eigenlijk is weggooien of opruimen niet de juiste term. Je moet vernietigen! Zet je een oude pc bij het grofvuil en neemt een voorbijganger die mee, inclusief harde schijf met data? Ja hoor, een datalek.

Het leegtrekken van de kasten is niet genoeg. Ook digitaal moet de bezem door je archief.

Digitale schoonmaak

Het leegtrekken van de kasten is niet genoeg. Ook digitaal moet de bezem door je archief. Lijsten van de kerstborrel, het personeelsfeest en de sportdag van de afgelopen tien jaar? Definitief verwijderen. Of in ieder geval de gegevens die erin staan.

Ga eens met de stofkam door het CRM, met welke klanten is al in geen tijden meer contact geweest? Haal hun gegevens uit de database.

Tegelijkertijd is dit ook een goede kans om documenten naar een veiliger omgeving te verplaatsen. Bij een bestand dat op een netwerkschijf staat kun je niet zien wie erin geweest zijn. Zet je het op Sharepoint, dan heb je die gegevens wel. En nu je toch bezig bent, wie hebben er eigenlijk toegang en mogen ze dat wel?

Controleer jezelf

Om de AVG-opfrisbeurt volledig te maken moet je tot slot goed in de spiegel kijken. Heb je wel eens een bestand naar jezelf gemaild omdat je er nog iets aan moest doen? Controleer of dit niet per ongeluk nog op je computer thuis te vinden is.

Bekijk kritisch de bestanden op je externe harde schijf en USB-sticks thuis. Gooi werkgerelateerde info zoveel mogelijk weg, of verplaats het naar een beveiligde werkomgeving.

Heb je zowel een privé als zakelijke mobiele telefoon? Zorg dat contacten alleen in je werktelefoon staan, waar apps met gegevenshonger er niet bij kunnen.

Bonusstap: Blijf dit proces herhalen

De laatste stap is simpel, herhaal alle bovenstaande stappen, tot in de eeuwigheid! Of in ieder geval totdat de wet verandert. Op 25 mei 2018 aan de AVG voldoen betekent niks als je daarna de teugels weer laat vieren. Blijf dus altijd kritisch op welke persoonsgegevens je verwerkt, zorg ervoor dat bestanden niet onnodig lang bewaard worden en leer jezelf veilig te werken.

Alles over de AVG op Management Support

Meer weten over de AVG? Management Support heeft de antwoorden voor je! Zo willen we jou helpen om klaar te zijn voor de AVG, als deze op 25 mei in werking treedt.

Lees ook de andere artikelen over de AVG:

Meer weten over de AVG?

Reageer op dit artikel