Heeft u uw persoonsgegevens goed beschermd? 9 handige tips!
Biedt u als ondernemer uw klanten de mogelijkheid om via uw site bestellingen te doen? Verstuurt u via mail of een speciale app salarisgegevens naar een administratiekantoor en/of uw werknemers? Meldt u via een computer (tablet, smartphone, enz.) uw medewerkers ziek bij een Arbodienst? Registreren uw medewerkers hun gewerkte uren via een handige app rechtstreeks in uw geautomatiseerde administratie? Het is zeer waarschijnlijk dat u als ondernemer op minstens één van deze vragen positief reageert. In dat geval, of in elke variant op deze situaties, moet u zich houden aan wetgeving op verwerking van persoonsgegevens.
Vanaf 25 mei aanstaande is in de gehele EU de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze verordening vervangt in Nederland de Wet bescherming persoonsgegevens. De AVG biedt meer bescherming aan mensen van wie gegevens automatisch verwerkt worden. De AVG moet ook het vrije verkeer van persoonsgegevens beter waarborgen. Voor alle duidelijkheid: de AVG en de Wbp hebben betrekking op automatische verwerking van gegevens die herleidbaar zijn tot natuurlijke personen (naam, adres, beroep, opleiding, BSN, foto, enz.). ‘Verwerking’ is een breed begrip: inzien, kopiëren, in laten vullen, verzamelen, enz. zijn allemaal vormen van ‘verwerking’. Verwerken van bedrijfsgegevens valt niet onder de AVG, maar staat daar de naam van een contactpersoon bij, dan hebben we het natuurlijk weer over persoonsgegevens!
Verantwoordelijke of verwerker
Timmerbedrijven kunnen voor verschillende bedrijfsprocessen persoonsgegevens gebruiken. Offertes, verkoop, personeelsadministratie, enz. zijn standaardprocessen in een onderneming. De ondernemer is in die processen degene die het doel en de middelen voor de verwerking vaststelt en heet in de AVG de ‘verwerkingsverantwoordelijke’. Een ondernemer zal een deel van de processen uitbesteden, zoals in de loonadministratie of het beheer van de site. Het administratiekantoor of het hostingbedrijf is in dat geval de ‘verwerker’, die in opdracht van de verantwoordelijke een deel van de verwerking verzorgt. De verwerker heeft een eigen verantwoordelijkheid, maar de ondernemer blijft eindverantwoordelijk. De ondernemer heeft met het administratiekantoor een verwerkersovereenkomst afgesloten.
De Autoriteit Persoonsgegevens (AP)
De AP is de instantie die toezicht houdt op uitvoering van de AVG. Een belangrijke taak van de AP is het geven van voorlichting over dit onderwerp, vooral via de sites https://autoriteitpersoonsgegevens.nl en www.hulpbijprivacy.nl
De AP kan ook torenhoge boetes uitschrijven als blijkt dat een bedrijf zich niet aan de AVG houdt!
Verplichtingen
Niet alle verplichtingen uit de AVG zijn van toepassing op timmerbedrijven. Timmerbedrijven verwerken over het algemeen gegevens van beperkte aantallen personen en vragen niet om bijzondere persoonsgegevens zoals religie, gezondheid, politieke voorkeur, enz. Er is daardoor meestal geen sprake van een ‘hoog privacy risico’. De volgende verplichtingen gelden echter voor ieder bedrijf:
- U meldt binnen 72 uur een datalek bij de AP.
Op verschillende manieren kunnen datalekken zich voordoen. U kunt per ongeluk mails aan verkeerde personen sturen, u kunt een usb-stick met persoonsgegevens verliezen, iemand kan uw systeem hacken en daar bestanden inlezen of kopiëren, enz. In zulke gevallen moet u zo snel mogelijk maatregelen nemen naar de klant en melding doen bij de AP. Uw ICT’er kan hierbij helpen.
- U houdt een register bij van mogelijke datalekken.
Ook als er een storing is waarbij, na onderzoek, geen sprake blijkt te zijn van een datalek, moet u daar een registratie van bijhouden, met genomen maatregelen. U kunt daardoor tegenover de AP aantonen dat u een actief veiligheidsbeleid heeft.
- U kunt uitleggen welke juridische basis u hanteert om persoonsgegevens te verwerken.
U kunt bijvoorbeeld aantonen dat betrokkenen daadwerkelijk toestemming hebben gegeven om persoonsgegevens te verwerken. Vult een klant zijn gegevens in op uw site, dan verkrijgt u expliciet toestemming door de klant daar een vakje ‘toestemming’ aan te laten klikken. U mag dat vakje niet al van tevoren ingevuld hebben.
Bij zaken als de personeelsadministratie is sprake van een wettelijke verplichting om persoonsgegevens te registreren. U beschikt daarvoor onder andere over het BSN van uw medewerkers. Dat gebruikt u voor afdrachten, enz. U mag het echter niet gebruiken als een personeelsnummer. Bij personeelsaangelegenheden is het niet verstandig u te beroepen op instemming. Er is namelijk sprake van een ongelijkwaardige gezagsverhouding tussen u en uw werknemers.
- U zorgt er voor dat betrokkenen hun rechten op het gebied van privacy goed uit kunnen oefenen.
Dit kunt u doen door op uw site duidelijk uit te leggen waarvoor u de gegevens van de klant gebruikt, hoe lang u de gegevens bewaart (bijvoorbeeld in een privacy protocol) en hoe de klant u kan bereiken als deze een recht wil uitoefenen (zoals stoppen van abonnement op een nieuwsbrief).
- U verwerkt alleen persoonsgegevens die u echt nodig heeft en u kunt dat uitleggen.
- U bewaart persoonsgegevens niet langer dan nodig.
- Als u een deel van de verwerking heeft uitbesteed aan een verwerker, heeft u daarvoor een verwerkersovereenkomst afgesloten.
Dit doet zich vooral voor bij bedrijven die de loonadministratie voor u verwerken, een Arbodienst, een hostingbedrijf voor uw site, enz. Vaak zijn deze verwerkers op de hoogte van de wetgeving. Vraag of de verwerkersovereenkomst die u met de verwerker heeft afgesloten ‘AVG-proof’ is.
- U beschermt op een verantwoorde manier persoonsgegevens en geeft alleen medewerkers toegang tot die gegevens als ze dat voor de uitvoering van hun taken nodig hebben.
Bij nieuwe software en nieuwe medewerkers moet u er scherp op zijn dat toegangsrechten correct zijn. Het kan helpen als u processen waar de software wordt gebruikt of waar de medewerkers een taak hebben, gedetailleerd heeft uitgeschreven in een register van verwerkingen. Voor de overheid en bedrijven met een hoog privacy risico, zoals pensioenverzekeraars, is dat verplicht.
- U zorgt er voor dat relevante medewerkers op de hoogte zijn van de nieuwe regels.
Belangrijk hierbij is dat u in ieder geval duidelijke afspraken heeft vastgelegd hoe gehandeld moet worden bij een datalek.
Bovenstaande beschrijft in algemene bewoordingen de verplichtingen vanuit de AVG. De AP biedt via de genoemde sites meer uitleg.