In welke persona herken jij jezelf? Leer welke stappen je nog moet zetten.
OK, de AVG daar moet je wat mee. Maar wat dan? Tal van bedrijven zijn uit de startblokken, maar vele lopen onderweg vast.
Waar sta jij? Waar loop je tegenaan? Wanneer ben je “klaar”? Mogen we een handje helpen?
In deze blog hopen we jou inzichten over jouw eigen AVG-status te geven. Tegelijkertijd proberen we jou van informatie te voorzien met linkjes naar (prima) informatie op de website van de Autoriteit Persoonsgegevens.
DE ONTKENNER.
Denkt dat de AVG alleen geldt voor de grotere techbedrijven. Ziet het als een hoofdpijndossier zonder nut of noodzaak. Voor het MKB zal het allemaal wel loslopen.
Zit jij nog in de ontkenningsfase? Oei, dat kan wel eens riskant zijn.
Iedere organisatie die persoonsgegevens verwerkt, zoals gegevens van medewerkers of van klanten, moet zijn bedrijf volgens de privacywet gaan inrichten. Vergelijk het met de jaarlijkse belastingaangifte. De AVG is dan gewoon een verplichting waar je niet aan ontkomt. Ook als je maar weinig persoonsgegevens verwerkt.
Het kan goed zijn dat je weinig voelt voor allerlei formeel geneuzel waar je zelf niet direct iets mee opschiet. Ook dan moet je je realiseren dat je jezelf heel kwetsbaar opstelt. Niet alleen voor controle door de Autoriteit Persoonsgegevens, maar je bent ook kwetsbaar voor (rancuneuze?) ex-medewerkers of ontevreden klanten. Zij hebben allerlei rechten gekregen onder de AVG waar jij op kan worden aangesproken. En de klachtenprocedure bij de AP staat voor iedereen open, zeker voor mensen die weten dat je een “ontkenner” bent. En stel dat je echt een datalek krijgt? Wil je dan gaan bekennen dat je privacyrechten allemaal niet serieus neemt? Dat is vragen om juridische gedoe en boetes.
DE ONTKENNER.
Denkt dat de AVG alleen geldt voor de grotere tech bedrijven. Ziet het als een hoofdpijndossier zonder nut of noodzaak. Voor het MKB zal het allemaal wel loslopen.
Zit jij nog in de ontkenningsfase? Oei, dat kan wel eens riskant zijn.
Iedere organisatie die persoonsgegevens verwerkt, zoals gegevens van medewerkers of van klanten, moet zijn bedrijf volgens de privacy wet gaan inrichten. Vergelijk het met de jaarlijkse belastingaangifte. De AVG is dan gewoon een verplichting waar je niet aan ontkomt. Ook als je maar weinig persoonsgegevens verwerkt.
Het kan goed zijn dat je weinig voelt voor allerlei formeel geneuzel waar je zelf niet direct iets mee opschiet. Ook dan moet je je realiseren dat je jezelf heel kwetsbaar opstelt. Niet alleen voor controle door de Autoriteit Persoonsgegevens, maar je bent ook kwetsbaar voor (rancuneuze?) ex-medewerkers of ontevreden klanten. Zij hebben allerlei rechten gekregen onder de AVG waar jij op kan worden aangesproken. En de klachtenprocedure bij de AP staat voor iedereen open, zeker voor mensen die weten dat je een “ontkenner” bent. En stel dat je echt een datalek krijgt? Wil je dan gaan bekennen dat je privacy-rechten allemaal niet serieus neemt? Dat is vragen om juridische gedoe en boetes.
Advies aan De Ontkenner
Deze wet waait niet over. Je moet je ermee aan de slag. Maak in ieder geval een aantoonbare start, dat is al veel beter dan helemaal niets doen. En lees erover; misschien ga je het belang van privacy toch wat meer waarderen (en ga je er echt mee aan de slag)
DE BEGINNER.
Heeft van de AVG gehoord, snapt dat zijn organisatie daarmee aan de slag moet, maar weet niet precies wat de wet inhoudt of waar hij moet beginnen.
OK, koudwatervrees. Waar te beginnen?
Ja, dat is best wel een begrijpelijk dilemma. De AVG is behoorlijk vaag. Er wordt nergens concreet gezegd wat een organisatie als die van jou moet doen en wanneer je “klaar” bent. Je hebt natuurlijk niemand in dienst die hier verstand van heeft. Dat maakt starten lastig. En bovendien: je hebt het al zo druk! Dit kun je er eigenlijk niet bij hebben.
Het goede nieuws is dat het wel steeds duidelijker wordt wat de Autoriteit Persoonsgegevens van organisaties verwacht. Er komen steeds meer concrete voorbeelden voorhanden. Uitgedeelde boetes vormen een goede leerschool. En het hoeft ook niet allemaal in één keer. Stap voor stap is ook OK.
Advies aan De Beginner
Informeer eens bij concullega’s hoe zij het hebben aangepakt. Begin bijvoorbeeld door eens grondig na te gaan welke persoonsgegevens jouw organisatie allemaal verwerkt. Vraag je vervolgens af of dat allemaal per se nodig is en schrap wat je eigenlijk best kunt missen. Dat is wat de AVG betreft al een hele goede eerste stap. De vervolgstappen zijn dan vast gemakkelijker.
Als je professionele hulp wilt inschakelen, zorg dan vooraf dat er een samenhangend plan wordt opgesteld, met een kop en een staart. Voor je het weet heb je een verzameling losse documenten en wordt het alleen maar ingewikkelder.
Een beginpunt? Check HalloLex eens! Daar staan allerlei AVG-gerelateerde contracten die jou snel op weg helpen!
DE VERZAMELAAR.
Heeft zich al wat verdiept in de AVG, snapt dat zijn organisatie daarmee aan de slag moet. Heeft al wat documenten verzameld waarvan hij heeft gehoord dat die verplicht zijn.
Als verzamelaar weet je in ieder geval dat je allerlei documentatie nodig hebt. Dat klopt inderdaad.
Privacyrecht is niet nieuw. Wat wél echt nieuw is aan de AVG, is dat je nu ook nog eens op tal van manieren schriftelijk moet vastleggen dat je je aan alle regels houdt en hoe je dat precies doet. Dat heet de verantwoordingsplicht. Daardoor is een wildgroei aan privacymodellen ontstaan. Kopieer een privacystatement en een cookieverklaring, zet jouw naam erboven en plaats hem op jouw website. Zo, dat schiet lekker op.
Nou, niet altijd. Want:
- Als je niet eerst hebt bekeken hoe jouw organisatie met persoonsgegevens omgaat, kun je daar ook niets over verklaren in een “privacystatement”. Toch? Jouw verklaring moet wel overeenstemmen met jouw situatie.
- Aan documenten kunnen mensen (klanten, medewerkers) allerlei rechten ontlenen. Het gaat tenslotte over hun persoonsgegevens. Een ondoordacht document kan zomaar tot allerlei problemen leiden.
- Als je in de loop der tijd allerlei losse privacydocumenten aanschaft, zit er onderling geen logische samenhang in. Dat wordt al snel een zootje.
DE VERZAMELAAR.
Heeft zich al wat verdiept in de AVG, snapt dat zijn organisatie daarmee aan de slag moet. Heeft al wat documenten verzameld waarvan hij heeft gehoord dat die verplicht zijn.
Als verzamelaar weet je in ieder geval dat je allerlei documentatie nodig hebt. Dat klopt inderdaad.
Privacy-recht is niet nieuw. Wat wél echt nieuw is aan de AVG, is dat je nu ook nog eens op tal van manieren schriftelijk moet vastleggen dat je je aan alle regels houdt en hoe je dat precies doet. Dat heet de verantwoordingsplicht. Daardoor is een wildgroei aan privacy-modellen ontstaan. Kopieer een privacy statement en een cookieverklaring, zet jouw naam erboven en plaats hem op jouw website. Zo, dat schiet lekker op.
Nou, niet altijd. Want:
- Als je niet eerst hebt bekeken hoe jouw organisatie met persoonsgegevens omgaat, kun je daar ook niets over verklaren in een “privacy statement”. Toch? Jouw verklaring moet wel overeenstemmen met jouw situatie.
- Aan documenten kunnen mensen (klanten, medewerkers) allerlei rechten Het gaat tenslotte over hun persoonsgegevens. Een ondoordacht document, kan zomaar tot allerlei problemen leiden.
- Als je in de loop der tijd allerlei losse privacy-documenten aanschaft, zit er onderling geen logische samenhang in. Dat wordt al snel een zootje.
Advies aan De Verzamelaar
Maak eerst een privacy-beleid voor jouw organisatie. Daarmee bedoelen we een overzicht waarin staat hoe jouw organisatie tegen privacy-rechten aankijkt, welke persoonsgegevens je allemaal verwerkt en hoe je daar vervolgens mee omgaat. Ga dan pas over tot het opstellen van de documentatie. Dat is beter, sneller en toekomstbestendig.
DE HARDLOPER.
Is serieus met de AVG aan de slag. Heeft een volledig privacy beleid opgesteld voor zijn organisatie en alle benodigde registers en documenten opgesteld.
Goed bezig!
Jij bent dus serieus met de AVG aan de slag. Dat betekent in jouw geval uiteraard complete en op maat gemaakte documentatie, alles op basis van jouw organisatie en werkwijzen. Met de verantwoordingsplicht zit het alvast goed. Bovendien weet jij dus ook dat je het verzamelen en bewaren van persoonsgegevens dient te minimaliseren. Zeker als je bijzondere persoonsgegevens verwerkt, zoals BSN nummers of medische gegevens.
Als jij het hebt over privacygevoelige data, dan heb je inmiddels ook technische veiligheidsmaatregelen genomen om de data te beschermen. En dat niet alleen tegen externe bedreigingen, zoals virussen of hackers, maar ook intern kan niet iedereen overal meer bij.
Advies aan De Hardloper
De basis staat. Maar vergeet niet de laatste stap te zetten, namelijk die naar de werkvloer. Privacy awareness blijft niet beperkt tot directie. Voor een succesvol en toekomstbestendig AVG-beleid, moeten ook jouw mensen zich naar het beleid gaan gedragen.
DE COMPLIANCE KONING.
Is volledig op de hoogte van de AVG, heeft een uitgewerkt privacybeleid met alle registers, documenten en draaiboeken en zijn organisatie handelt daar ook naar.
Complimenten. Jij hebt het helemaal voor elkaar.
Niet alleen heb je voor jouw organisatie een strak beleid opgesteld met alle documentatie en registers die daarbij horen. Je gaat ook heel bewust om als je andermans persoonsgegevens verwerkt. Dat doe je alleen als er een geldige grondslag voor is en je bewaart niets langer dan strikt noodzakelijk. En als er in de toekomst wijzigingen plaatsvinden, wordt het beleid natuurlijk geüpdate.
Ook op de werkvloer zijn jouw mensen op de hoogte; zij zijn breed geïnformeerd en hebben draaiboeken hoe te handelen, bijvoorbeeld bij een datalek. Je nam adequate organisatorische en technische veiligheidsmaatregelen om de data te beschermen. En schakel je derden in die voor jou persoonsgegevens verwerken? Inderdaad, jij zorgt dan voor een verwerkersovereenkomst. En als er in de toekomst wijzigingen plaatsvinden, wordt het beleid geüpdate.
DE COMPLIANCE KONING.
Is volledig op de hoogte van de AVG, heeft een uitgewerkt privacy-beleid met alle registers, documenten en draaiboeken en zijn organisatie handelt daar ook naar.
Complimenten. Jij hebt het helemaal voor elkaar.
Niet alleen heb je voor jouw organisatie een strak beleid opgesteld met alle documentatie en registers die daarbij horen. Je gaat ook heel bewust om als je andermans persoonsgegevens verwerkt. Dat doe je alleen als er een geldige grondslag voor is en je bewaart niets langer dan strikt noodzakelijk. En als er in de toekomst wijzigingen plaatsvinden, wordt het beleid natuurlijk geüpdate.
Ook op de werkvloer zijn jouw mensen op de hoogte; zij zijn breed geïnformeerd en hebben draaiboeken hoe te handelen, bijvoorbeeld bij een datalek. Je nam adequate organisatorische en technische veiligheidsmaatregelen om de data te beschermen. En schakel je derden in die voor jou persoonsgegevens verwerken? Inderdaad, jij zorgt dan voor een verwerkersovereenkomst. En als er in de toekomst wijzigingen plaatsvinden, wordt het beleid geüpdate.
Kortom: privacygegevens zijn bij jouw organisatie in goede handen. Zowel voor klanten als leveranciers ben jij een professionele en betrouwbare partner. Daar kun je de toekomst mee in.
Advies aan De Compliance Koning
Jij bent Privacy Proof! Vier het succes. Zorg dat je het niveau vasthoudt.
Auteurs: Leonard Bijlsma & Jeannot Coomans | 17 augustus 2020
