Wat betekent de nieuwe Europese privacywet (AVG) voor mijn bedrijf?

Op 25 mei 2018 treedt de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG), of GDPR in het Engels, in werking. Het is dan de verantwoordelijkheid van elk bedrijf en elke organisatie in de EU, om ervoor te zorgen dat de privacy van hun relaties (klanten, leveranciers, personeel, leden, vrijwilligers, patiënten enz.) veilig is. Bedrijven die geen gepaste maatregelen nemen, kunnen een boete krijgen.

Wat betekent dit voor bedrijven?

Stel u stuurt een factuur naar een verkeerd adres, dan heeft de ontvanger persoonlijke informatie over uw klant gekregen. Uw klant zou mogelijk een klacht bij de Autoriteit Persoonsgegevens kunnen indienen, die een hoge boete zou kunnen opleggen. Door eventuele negatieve publiciteit zou dit imagoschade voor uw bedrijf kunnen opleveren, met als mogelijk gevolg, een verlies van klanten.

Waarom hebben we een nieuw privacyreglement nodig?

Vóór internet was de enige manier om persoonlijke gegevens te verzamelen erom te vragen of deze illegaal te verkrijgen. Omdat het internet de manier van werken heeft veranderd, wordt informatie op meerdere manieren verzameld en opgeslagen in hoeveelheden die we ons nooit hadden kunnen voorstellen. Voer uw naam in Google in en kijk welke informatie over u vrij beschikbaar is. Probeer het ook met uw telefoonnummer of adres:  het kan verrassend zijn. Privacyvoorschriften zijn nodig, om misbruik van onze privé-gegevens tegen te gaan.

Elk bedrijf en elke organisatie heeft relaties. Om contact met deze relaties te kunnen houden, heeft u van hen privé-gegevens nodig, zoals naam, adres, telefoonnummer en e-mailadres. U bewaart ook misschien verdere informatie zoals bankrekeningnummer, contactpersonen, contactgeschiedenis, toegestane korting, kortom de lijst is eindeloos. Al deze informatie is hoogstwaarschijnlijk digitaal opgeslagen. Als het op papier zou staan, wordt dat waarschijnlijk opgeslagen in een archiefkast die kan worden vergrendeld. Kunnen uw digitale gegevens achter slot en grendel worden beveiligd?

Iedereen geeft aan bedrijven of organisaties privé-gegevens gemakkelijk af, bijvoorbeeld het adres bij het online bestellen van iets. Soms geven we privé-informatie in ruil voor diensten, zoals bij het invullen van een korte vragenlijst, in ruil voor een gratis account. Als consument verwachten we dat onze informatie met respect wordt behandeld en alleen in ons voordeel wordt gebruikt door degene aan wie we die verstrekt hebben.

Goed, we weten waarom we een privacyregeling krijgen, maar wat moeten bedrijven doen om hieraan te voldoen?

Er zijn een aantal acties die een bedrijf kan uitvoeren om de gegevensbeveiliging te verbeteren.

  • Controleer uw gegevensbronnen: welke gegevens verzamelt u? Waar en hoe bewaart u die? Waar gebruikt u die voor? Maak een inventarisatie en houd die up-to-date.
  • Gebruik een GOEDE viruschecker en houd deze up-to-date. Gratis viruscontroleversies zijn in orde, maar beperkt in functies, dus een kleine investering, in een volledige toepassing, wordt aanbevolen.
  • Wijzig wachtwoorden regelmatig. Zet een herinnering in uw agenda. Zorg ervoor dat de wachtwoorden ingewikkeld zijn; er zijn hulpmiddelen op het internet om u hiermee te helpen.
  • Het zou verstandig kunnen zijn te overleggen met een lokaal ICT-ondersteuningsbedrijf over een regelmatige netwerkonderhouds- en beveiligingscontrole (zoals u met uw auto doet).
  • Trap nooit in de val van “Microsoft Security” telefoontjes. Microsoft doet dit niet.
  • Negeer e-mail van onbekende bronnen en open nooit bijlagen of koppelingen waar u niet zeker van bent.
  • Het gebruik van (goedgekeurde) cloudservices voor opslag is soms veiliger dan uw eigen opslag. De grote bedrijven die cloudopslag aanbieden (zoals Google, Amazon, Microsoft, Dropbox enz.) hebben de middelen om zeer veilige diensten aan te bieden.
  • Houd gevoelige informatie gescheiden van de gegevens die u dagelijks gebruikt. Het is mogelijk dat u regelmatig naam- en telefoonnummers nodig heeft, maar bankrekeninginformatie alleen bij de facturering, dus sla deze apart op en link alleen op sleutel of code indien nodig.
  • Sla geen gevoelige gegevens op geheugensticks op: ze zijn te gemakkelijk te verliezen.
  • Als u personeel heeft, zorg er dan voor dat hun toegang tot uw systemen wordt verwijderd als ze uw bedrijf, organisatie verlaten. Als ze van functie veranderen, zorg er dan voor dat ze alleen toegang hebben tot gegevens die relevant zijn voor hun nieuwe functie.
  • Wees bewust van de verantwoordelijkheid die u heeft om informatie van uw relaties te beschermen. Zorg ervoor dat elk lid van uw bedrijf ook op de hoogte is van de AVG en hoe ze met privé-gegevens om moeten gaan.
  • Doe al het mogelijke poging om de privé-gegevens van uw relaties te beschermen. Documenteer deze acties zodat ze kunnen worden gebruikt als bewijs dat al het mogelijke is gedaan.

GDPR-regels zijn nieuw en alleen als ze actief worden, zullen we zien hoe ze in de praktijk werken. Naleving wordt getest en boetes worden zo nodig opgelegd. U moet alles in het werk stellen om de gegevens van uw relaties te beschermen; geen bedrijf is te klein om aan de wet te voldoen.

Voor gedetailleerde informatie over AVG, zie  https://autoriteitpersoonsgegevens.nl/nl