Maandelijkse Roundup April
Onze round-up van nieuws en updates voor april
6 januari 2022
7 simpele stappen om te voldoen aan de AVG
Maak jouw bedrijf AVG-proof met onze eenvoudig te implementeren AVG-compliance gids.
De ultieme AVG-gids voor de bescherming van jouw kleine onderneming
De AVG is een omvangrijke wet die organisaties die gegevens van EU-burgers of -inwoners opslaan of anderszins verwerken, verplicht zich aan bepaalde regels en beginselen inzake gegevensbescherming te houden. Sinds de verordening in werking is getreden, moeten bedrijven de privacy van de gegevens van hun klanten uiterst serieus nemen, anders riskeren zij een hoge boete.
De AVG is van toepassing op elke organisatie, ongeacht diens omvang, en de AVG is in sommige gevallen ook van toepassing op niet-Europese bedrijven. Alles wat persoonsgegevens bevat, zelfs zoiets kleins als een e-mailadres, telt als persoonsgegevens waarop de AVG van toepassing is. Het proces om AVG-compliant te worden kan overweldigend aanvoelen voor kleine bedrijven, maar het hoeft je niet met angst te vervullen! Volg gewoon deze 7 stappen, en je zult in staat zijn om jezelf, jouw bedrijf en de gevoelige informatie te beveiligen.
Dit artikel is het eerste deel van onze Transformer-serie, ontworpen om je in staat te stellen jouw eigen cybersecurity- en AVG-compliance transformer te worden. Van artikelen tot workshops en alles daartussenin, wij begeleiden je bij alles wat je moet doen om AVG-compliant en cyber-secure te worden, zodat je gerust kunt zijn dat jouw bedrijf AVG-compliant is. En we zullen ondertussen zelfs een beetje plezier maken. Aan de slag!
1 - Ken jouw rechtsgrondslag
Je hebt misschien gehoord dat je altijd toestemming nodig hebt om gegevens te mogen verwerken, maar toestemming is niet de enige rechtsgrondslag waarop jouw bedrijf zich kan beroepen. In feite kan elk van de zes rechtsgrondslagen worden gebruikt en het is aan jou om te beslissen welke rechtsgrondslag van toepassing is op jouw specifieke situatie en verwerkingsactiviteit. Voor de meeste (kleine) bedrijven zal jouw rechtmatige grondslag voor de verwerking van persoonsgegevens onder de AVG ofwel toestemming, uitvoering van overeenkomst of gerechtvaardigd belang zijn. Voor de andere rechtmatige grondslagen onder de AVG, bekijk deze uitleg van de ICO (Autoriteit Persoonsgegevens) van het Verenigd Koninkrijk: Lawful bases for processing.
Als je op toestemming vertrouwt, zijn er een paar vereisten waaraan jij je moet houden bij het verkrijgen van toestemming van jouw betrokkenen. Je moet toestemming vragen voordat de verwerkingsactiviteit begint en de betrokkenen moeten opt-in kiezen, in plaats van opt-out. Je moet duidelijk maken dat de betrokkenen weten waarvoor zij toestemming geven en zij moeten hun toestemming gemakkelijk kunnen intrekken. Kijk op deze website voor meer informatie over toestemming: Algemene Verordening Gegevensbescherming en kijk uit naar ons artikel over De 7 elementen van toestemmingsbeheer dat op 10 maart verschijnt.
2 - Houd een verwerkingsregister bij
Het bijhouden van jouw verwerkingsactiviteiten is een essentieel onderdeel van AVG-naleving voor kleine bedrijven en zelfs grote ondernemingen. Het helpt jouw bedrijf te voldoen aan een van de beginselen van gegevensverwerking die te maken heeft met verantwoordingsplicht: Het aantonen van jouw AVG-naleving aan klanten, jouw supply chain en de Autoriteit Persoonsgegevens.
Bedrijven moeten een zogenaamd verwerkingsregister bijhouden met details over welke persoonsgegevens worden verwerkt, hoe, waarom, hoe lang ze worden bewaard en welke beveiligingsmaatregelen er zijn getroffen. De rechtsgrondslag voor de verwerking van persoonsgegevens uit de eerste AVG-top tip moet ook in jouw verwerkingsregister worden opgenomen, voor elk stuk persoonsgegevens dat jouw bedrijf verwerkt. Om een verwerkingsregister in te vullen, moet je met jouw collega's om de tafel gaan zitten (of opstaan, een gezonde werkgewoonte waar we ons in kunnen vinden!) om te identificeren hoe jouw bedrijf omgaat met persoonsgegevens. Het is een goed idee om een personeelslid aan te wijzen dat verantwoordelijk is voor AVG-naleving, zodat je een oogje in het zeil kunt houden en een duidelijk aanspreekpunt hebt voor externe vragen.
3 - AVG-beleid schrijven
Naast jouw verwerkingsregister zijn er nog een paar andere AVG-beleidslijnen die kleine bedrijven moeten hebben. We zullen deze in detail bespreken in ons aankomende artikel over de 7 AVG beleidslijnen die kleine ondernemingen moeten hebben, dat op 14 april verschijnt. We zullen hieronder kort ingaan op het meest (on)bekende AVG-beleid, het privacy- en cookiebeleid. (Een cookiebeleid is natuurlijk helemaal niet nodig als je geen website hebt of geen cookies gebruikt op je website, dus laten we er voor dit artikel van uitgaan dat je een website hebt die cookies gebruikt om de persoonlijke gegevens van bezoekers op een of andere manier te verwerken).
Deze beleidsregels, die je als twee afzonderlijke beleidsregels kunt handhaven of in één beleid kunt combineren, hebben te maken met transparantie met betrekking tot jouw activiteiten op het gebied van de verwerking van persoonsgegevens ten aanzien van jouw (potentiële) klanten en jouw supply chian (toeleveringsketen). Je kunt jouw betrokkenen mondiger maken door middel van een duidelijk privacy- en cookiebeleid dat hen niet alleen informeert, maar hen ook laat weten hoe zij hun rechten met betrekking tot hun gegevens kunnen uitoefenen via een zogenaamd Inzageverzoek (waarover hieronder meer).
Jouw privacy- en cookiebeleid is bedoeld om ervoor te zorgen dat jij je aan de wet houdt en dat jouw betrokkenen weten wat je met hun gegevens doet, waarom je dat doet, wie er toegang toe heeft, en dat al het bovenstaande aan hen wordt gecommuniceerd op een manier die gemakkelijk te begrijpen is. Zet deze beleidsregels op jouw website en werk ze regelmatig bij om ervoor te zorgen dat je op dit front aan de AVG voldoet.
4 - Beheer van website toestemming: Zei iemand cookies?
We noemden cookies al eerder, toen we het hadden over jouw privacy- en cookiebeleid als twee van de meest (on)bekende AVG-beleidslijnen die kleine bedrijven moeten hebben. Het hebben van een cookie-beleid is niet genoeg om jouw bedrijf compliant te maken op het cookie-front. Je moet ook een cookiebanner hebben, in welke vorm dan ook.
Wat is een cookiebanner?
Net zoals er verschillende soorten koekjes zijn (chocolate-chip, macadamia, havermout-rozijn), zijn er ook verschillende soorten, nou ja, cookies. Sommige stellen jouw bedrijf in staat toegang te krijgen tot de persoonlijke gegevens van jouw websitebezoekers, andere niet. Voor elke niet-geanonimiseerde cookie die jouw website gebruikt, verwerkt jouw bedrijf persoonsgegevens. Voor die cookies zul je toestemming moeten krijgen van jouw websitebezoekers en dat kun je doen via een cookiebanner.
Een goede manier om de toestemming van jouw websitebezoekers te verkrijgen is via een toestemmingsbeheerplatform waarmee je jouw cookiebanner en de ervaring van de gebruiker kunt personaliseren, toestemming kunt bijhouden en bezoekers heel gemakkelijk toestemming kunt laten intrekken. Houd een oogje in het zeil voor ons komende artikel dat op 10 maart verschijnt: De 7 elementen van toestemmingsbeheer, waarin je alles kunt lezen over toestemmingsbeheerplatforms, , of bekijk in de tussentijd deze AP-cookierichtlijn.
5 - Persoonlijke gegevens veilig bewaren
Gegevens veilig bewaren is een prima manier om aan de AVG te voldoen, maar hoe pak je dat aan? We volgen een spoedcursus privacy by design en maken je wegwijs in de kracht van risicobeoordelingen.
Wat is privacy by design?
Privacy by design is een AVG-principe dat stelt dat je privacy moet integreren in je verwerkingsactiviteiten en bedrijfspraktijken. Dit betekent simpelweg dat je bij alles wat je doet rekening moet houden met privacy, of het nu gaat om iets technisch zoals het bouwen van een website of een app, of iets wat we allemaal regelmatig doen, zoals e-mailen. Hoe kun je privacy by design in jouw bedrijf integreren? Door bijvoorbeeld te besluiten om een document met persoonlijke informatie niet via e-mail te versturen, maar in plaats daarvan een veilig platform voor het delen van informatie te gebruiken. Of door encryptie (in feite een slot waarvan alleen jij de sleutel hebt) in te schakelen op jouw laptops of jouw app. Je zult elk gebied van jouw verwerkingsactiviteiten en bedrijfspraktijken moeten identificeren dat een risico voor jouw betrokkenen kan inhouden en een passende maatregel moeten kiezen om dat risico te beperken. Dit is waar een risicobeoordeling om de hoek komt kijken.
Wat is een risicobeoordeling en wat levert het je op?
Een risicobeoordeling is, zoals de naam al zegt, een beoordeling van wat het potentiële risico kan zijn voor elke verwerkingsactiviteit en bedrijfspraktijk waarbij persoonsgegevens van jouw betrokkenen betrokken zijn. In deze risicobeoordeling neem je een weloverwogen beslissing over hoe groot het risico voor jouw bedrijf en de betrokkenen is, en kies je maatregelen om die risico's te beperken. Niet alleen is het uitvoeren van een risicobeoordeling een AVG-vereiste, het zal je ook helpen privacy by design en algemene cybersecurity in jouw bedrijf te implementeren. Win-win.
Als je meer wilt lezen over privacy by design, bekijk dan dit artikel: Gegevensbescherming door Design en Default
6 - Incident Response
Als kleine onderneming ben je wettelijk verplicht om een goed incident response plan te hebben, alsof je nog niet genoeg te doen had! Maar geen zorgen, wij zullen je in een of twee korte alinea's vertellen wat je moet doen. Als het gaat om incident management in een klein bedrijf, is het goed om een onderscheid te maken tussen een incident en een datalek.
Een incident is een gebeurtenis die gevolgen heeft voor jouw communicatie- of informatieverwerkingssystemen, maar niet noodzakelijkerwijs voor persoonsgegevens. Een datalek is een incident dat gevolgen heeft voor de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens. De AVG heeft alleen betrekking op datalekken. Om als klein bedrijf AVG-compliant te zijn als het gaat om datalekken, moet je een paar eenvoudige stappen volgen:
- Houd een gedetailleerd register bij van alle gebeurtenissen die hebben geleid tot een datalek, de manier waarop de inbreuk is ontdekt, welke maatregelen zijn genomen om het datalek te verhelpen, of de inbreuk in verband met gegevens al dan niet gevolgen heeft gehad voor de betrokkenen en de maatregelen die zijn genomen om te voorkomen dat een dergelijk lek zich in de toekomst herhaalt.
- Zelfs als je nog niet over alle details van het datalek beschikt, moet je het datalek binnen 72 uur nadat je er kennis van hebt gekregen, melden aan de Autoriteit Persoonsgegevens;
- Indien het datalek waarschijnlijk zal resulteren in een hoog risico op negatieve gevolgen voor de rechten en vrijheden van personen, moet je de betrokkenen zelf zonder onnodige vertraging op de hoogte brengen.
7 - De betrokkenen helpen hun rechten uit te oefenen
De andere rechten die de betrokkenen hebben, zijn het recht op informatie, toegang, rectificatie, verwijdering, beperking en bezwaar. Alle rechten van de betrokkenen kunnen worden uitgeoefend door middel van een schriftelijk verzoek of zelfs mondeling, bijvoorbeeld aan de telefoon. Het is jouw verantwoordelijkheid als bedrijf om de betrokkenen te helpen hun rechten zo gemakkelijk mogelijk uit te oefenen en deze kleine gids zal het je gemakkelijk maken dat te doen.
Personen hebben het recht om te worden geïnformeerd over het verzamelen en gebruiken van hun persoonsgegevens. Je moet hen informatie verstrekken over deze verwerkingsactiviteit op het moment dat ze worden verzameld, bijvoorbeeld via jouw privacy- en cookiebeleid, zoals we hierboven hebben besproken. Individuele personen kunnen hun recht op toegang uitoefenen via iets waar je misschien al eens van hebt gehoord, namelijk een inzageverzoek.
Wat is een inzageverzoek?
Een inzageverzoek is een verzoek van een persoon om een kopie van zijn persoonsgegevens te ontvangen, alsmede aanvullende informatie waarom diegene kan verzoeken met betrekking tot jouw verwerking van zijn persoonsgegevens. De betrokkene moet toegang krijgen en jouw bedrijf moet deze verzoeken zonder onnodige vertraging beantwoorden, in ieder geval binnen een maand. Zorg ervoor dat je de persoonlijke informatie op een goed beveiligde manier met hen deelt, bijvoorbeeld via een beveiligd uitwisselingsplatform.
De andere rechten die we hebben genoemd, namelijk rectificatie, verwijdering, beperking en bezwaar, moeten op dezelfde manier worden behandeld als een inzageverzoek. Zorg ervoor dat jouw bedrijf een plan heeft voor de behandeling van inzageverzoeken en dat alle werknemers weten wat ze moeten doen als ze er een ontvangen. Het is een goed idee om één personeelslid aan te wijzen als hoofdverantwoordelijke voor inzageverzoeken, zodat diegene het overzicht behoudt en jouw bedrijf binnen de gestelde termijn kan antwoorden. Door jouw betrokkenen te helpen toegang te krijgen tot hun rechten, kun jij je niet alleen aan de AVG houden en jouw betrokkenen beschermen, maar ook jouw reputatie beschermen. Lees hier meer over het omgaan met de rechten van individuen met betrekking tot hun persoonlijke gegevens: Individuele rechten.
Dat was het dan. 7 stappen naar AVG compliance voor kleine bedrijven.
Of je nu advocaat, accountant, marketeer, consultant of zelfs landbouwer bent, de AVG-vereisten blijven dezelfde. Wij zullen er voor je zijn in de vorm van deze gids voor al jouw AVG-vragen. Meld je aan voor onze nieuwsbrief als je wilt dat we de volgende delen van onze Transformer-serie rechtstreeks naar je mailbox sturen en kijk op social media uit naar het artikel van volgende week, waarin we inzoomen op toestemmingsbeheer met onze samenwerkende auteur Usercentrics.
Geniet voor nu van een fijne week en misschien van een koekje (of twee).
