De gevolgen van de Europese privacy verordening (AVG) voor het MKB

De nieuwe Europese wetgeving op gebied van privacy dient personen meer bescherming te bieden. Het toepassen van privacy principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening.

De invoering van de AVG verwerkersovereenkomsten per 25 mei 2018 schept verplichtingen voor het MKB. Er worden immers bij het MKB uiteenlopende wijze persoonsgegevens verwerkt. De AVG eist dat uitsluitend persoonsgegevens mogen worden opgeslagen en verwerkt, indien daarvoor een gerechtvaardigd doel is. Ook dient onderscheid te worden gemaakt tussen bijzondere persoonsgegevens (ras, geloof, politieke voorkeur, vakbondslid, BSN nummer, strafblad) en algemene persoonsgegevens (NAW, emailadres, IP)

De wetgeving dient personen meer bescherming te bieden. Het betreft een Europese wetgeving waarbij een aantal principes gelden. Het toepassen van deze principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening.

Afsluiten verwerkersovereenkomsten

Het MKB dient verwerkersovereenkomsten af te sluiten met externe partijen, die (privacy) data kunnen inzien, opslaan of op enige wijze iets met de gegevens doet. Om deze overeenkomsten af te sluiten, dient inzicht te zijn met welke partijen dit plaats moet vinden. Denk aan salarisadministratie, accountant, Arbodienst, ICT beheerder.

Inzage in opgeslagen informatie

Het MKB dient inzichtelijk te maken hoe welke informatie (data) waar en voor hoe lang in de administratiesystemen wordt opgeslagen. Ook dienen er technische en administratieve voorzieningen getroffen te zijn voor de beveiliging van gegevens. Op verzoek van betreffende persoon dienen gegevens over hem/haar opgevraagd en/of verwijderd te worden uit de bestanden. Daarvoor dient te worden geïnventariseerdwelke persoonsgegevens voor welk doel worden opgeslagen/verwerkt, waarbij ze naar aard en doel gerubriceerd worden. Voor zo’n verwerkingsregister zijn Excel sheets in omloop.

Juridisch zijn een aantal punten van belang:
wijs privacy officer/functionaris gegevensverwerking (FG) aan;
instrueer personeel over gebruik usb, wachtwoord, dropbox, google/Gmail etc. en laat medewerkers tekenen dat ze zich zullen houden aan de daarvoor beschikbare procedures, ook indien het fout gaat, bijv. bij verlies van data.
stel model verwerkingsovereenkomsten op t.b.v. externe actoren van MKB;
stel privacy en cookie statement op t.b.v. website, Facebook, Twitter, Instagram;
zorg in opdrachtbevestiging dat klanten expliciet gewezen worden op gebruik van persoonsgegevens voor nieuwsbrief, seminars en dat ze daarvoor toestemming dienen te geven (via vinkje, in algemene voorwaarden die expliciet geaccepteerd dienen te worden of / ‘voor akkoord’ bij handtekening opdrachtbevestiging).

Door zich als bedrijf aan deze regels te houden, wordt voorkomen dat uiteindelijk een boete kan worden opgelegd bij overtreding.

zorg voor een systeem, waaruit blijkt dat niet-klanten expliciet akkoord gaan met mailing voor nieuwsbrieven, seminars. Beheer zelf (email-)adressenbestand;
Formuleer (en communiceer intern) een procedure meldplicht datalekken en Protocol bij datalek, incl. logging security incidenten.

Bron: Actuele Artikelen                                               

verplichte melding Autoriteit Persoonsgegevens bij datalek

Volgens de Wet bescherming persoonsgegevens zijn bedrijven vanaf 1 januari 2016 verplicht de Autoriteit Persoonsgegevens in te lichten als gegevens op straat komen te liggen.

De oorzaken van een datalek bij een Nederlandse organisatie zijn vaak onbenullig, maar de gevolgen zijn vrijwel altijd groot. Met een nieuwe wet wil de regering Nederlandse bedrijven dwingen hun gegevens beter te beveiligen en betrokkenen sneller op de hoogte stellen als er gegevens uitlekken.

Mocht een bedrijf dit verzuimen, dan riskeren ze een boete tussen de 4.500 en 450.000 euro. Deze meldplicht is hard nodig, vindt Gert-Jan Zwenne, hoogleraar recht en informatiemaatschappij aan de Universiteit Leiden. Hij vertelt dat het Nederlandse bedrijfsleven elk jaar honderden miljoenen euro`s verliest door datalekken.

Richard Franken is directeur bij bedrijfsrecherchebureau Hoffmann en verbaast zich over de naïviteit bij bedrijven. Hij noemt het gebrek aan aandacht voor het gevaar van datalekken `een collectief negeren`. Mocht het onverhoopt misgaan, dan is het zaak snel te handelen, zegt Zwenne. `Het eerste wat je moet doen, is de schade beperken. Pas als je het lek hebt weten te dichten, ga je nadenken over hoe je dit gaat communiceren.`

Bron: Profnews