Disclaimer (ja, we beginnen nu al): ik heb geen rechtenstudie gedaan en beschik dus niet over alle juridische wijsheid. De wet- en regelgeving is van zichzelf al ingewikkeld genoeg. Ik kan alleen vertellen over mijn eigen ervaringen en wat voor mijn onderneming werkt. Blijf kritisch en kijk vooral wat juist is voor jouw eigen bedrijf. Een juridische organisatie kan uitleg geven over alle rechten en plichten.

AVG: gouden tijden voor juristen…

Dat ik geen rechten heb gestudeerd, daarvan begin ik nu spijt te krijgen: ik vermoed dat juristen momenteel een toptijd beleven. Voor ondernemers is de nieuwe privacy-wetgeving best een Groot Ding om uit te pluizen. Sowieso moet je nadenken hoe je zelf omgaat met persoonsgegevens en nagaan of jouw werkwijze aan de AVG voldoet. Poeh, lastig.

De site van de Rijksoverheid is een aardige start, denk ik. Ook de Kamer van Koophandel geeft tips, al ben ik stiekem zelf ook heel erg benieuwd hoe de KvK zelf omgaat met de nieuwe privacy-wetgeving. Wat ik zelf ervaren heb bij de KvK (zie ook mijn eerdere blog hierover), was vooral dat andere bedrijven gretig gebruik maakten van mijn ingevulde persoonsgegevens. Komt hierin verandering?

De AVG in het kort

De Algemene Verordening Gegevensbescherming gaat dus op 25 mei in en is een Europese verordening. De internationale naam is General Data Protection Regulation (GDPR). In Nederland hadden we de voorloper van de AVG: de Wet Bescherming Persoonsgegevens. De AVG is een stuk strikter dan de WBP en geldt voor iedere organisatie; dus ook voor kleinere ondernemers en eenmanszaken.

Door de invoering van de AVG krijgen bedrijven met meer verplichtingen te maken tijdens het verwerken van persoonsgegevens. De AVG wil er namelijk voor zorgen dat privacyrechten wereldwijd worden versterkt.

Als organisatie krijg je al snel te maken met persoonsgegevens: bijvoorbeeld als je een factuur stuurt, een nieuwsbrief mailt of een contactformulier plaatst op een website. Om deze gegevens te verwerken legt de AVG nadruk op jouw verantwoordelijkheid: je moet namelijk aantonen dat jouw organisatie zich aan de wet houdt.

Komt met de invoering van de AVG een einde aan alle ongevraagde spam van loterijen (joepie, weer een miljoen gewonnen) en bedrijven (het zoveelste blauwe pilletje of afslankproduct)? Ik betwijfel het.

Eerlijk gezegd kan ik mij niet voorstellen dat de toestroom van ongewenste mail vanaf morgen eindelijk verleden tijd is. Hoewel dat ontzettend goed zou uitkomen – ik heb nooit toestemming gegeven om mijn mailadres te gebruiken – vrees ik dat zulke praktijken gewoon door blijven gaan: AVG of niet.

Welke gevolgen heeft de AVG voor organisaties?

Iedere ondernemer heeft een verantwoordingsplicht. Voor alle gegevens die je verzamelt, dien je vast te leggen waarom dat je dat doet, op welke manier dat gebeurt, hoe deze gegevens beveiligd worden en hoe lang gegevens worden bewaard. Wat is het doel van het vragen van de gegevens, hoe verklaar je waarom je deze vraagt (kan het niet met minder gegevens?) en om welke gegevens vraag je precies?

Verder stelt de nieuwe wetgeving strenge eisen aan de toestemming die personen moeten geven voor het verwerken van gegevens. Als je bijvoorbeeld een nieuwsbrief stuurt, moet je kunnen aantonen dat de ontvanger toestemming heeft gegeven.

Daarnaast is het een voorwaarde om transparant te zijn over wat en met wie je zaken doet; dit is natuurlijk ook zonder de AVG nodig. Als het goed is, heb je al een document met algemene voorwaarden. Naast dat document, wordt ook een privacyverklaring (Privacy Statement) belangrijk: een document waarin je vastlegt hoe je omgaat met persoonsgegevens.

Als je via een website persoonlijke gegevens van bezoekers vraagt en/of opslaat, ben je bezig met 'het verwerken van persoonsgegevens’. Bij de meeste contactformulieren wordt immers al om een naam, e-mailadres en/of telefoonnummer gevraagd. Volgens de wet dien je in zo'n geval 'passende technische maatregelen' te treffen. Een SSL beveiliging (het beroemde slotje op de website) is daarom sterk aan te raden. Hiermee kun je voorkomen dat gegevens worden onderschept.

Veel stof tot nadenken dus. Het kan nog ingewikkelder. Ik leg het uit in de volgende zin: de langste en moeilijkste zin die ik ooit heb geschreven voor een blog.

Als ik alles goed begrepen heb, dan ben je daarnaast verplicht om datalekken te melden, heb je een bewerkersovereenkomst nodig wanneer een organisatie persoonsgegevens voor jou verwerkt, dien je rekening te houden met het 'recht op inzage' en het 'recht op correctie en verwijdering', is het verplicht om de risico's van gegevensverwerking in kaart te brengen en zou je ook nog een 'functionaris gegevensbescherming' moeten aanstellen wanneer je op grootschalige schaal gegevens verwerkt (vrij vertaald naar deze bron).

Daarmee wordt het nogal lastig allemaal. Voor mijn bedrijf (eenmanszaak, nauwelijks persoonsgegevens) werkt het gelukkig een stuk simpeler: slechts drie aandachtspunten. Een superkorte checklist dus.

De AVG: een superkorte checklist:

1. Zorg voor een Privacy Statement. Leg vast waarom je gegevens verzamelt, op welke manier je dat doet, hoe deze gegevens worden beveiligd en hoe lang gegevens worden bewaard.
2. Sowieso belangrijk, maar vanaf 25 mei helemaal: zorg ervoor dat de klant toestemming heeft gegeven om een nieuwsbrief te ontvangen. Je moet kunnen aantonen dat die toestemming er is.
3. Als je gegevens verwerkt via een website (wat al het geval is bij een contactformulier), zorg dan voor een SSL certificaat.

Voor deze site en Tekstvisie kan ik twee punten afstrepen van dit lijstje. Beide sites zijn voorzien van een slotje en onderaan heb ik mijn (jawel!) Privacy Statement geplaatst. Wat ik met mijn nieuwsbrief doe? Afschaffen dan maar en voilà: met punt 2 voldoe ik nu ook aan de AVG! (NB: nieuws over mijn bedrijf vind je op mijn sites en natuurlijk op Facebook)

Wat verandert er nu echt met de AVG? Eigenlijk niets.

Tof hoor dat iedere ondernemer nu verplicht moet nadenken over het privacy-beleid en eventuele veiligheidsrisico's, maar volgens mij doe je dat (als het goed is) al zodra je een bedrijf start. Ik denk dat de wetgeving niet altijd handig werkt in de praktijk. Om een voorbeeld te noemen: met de AVG hebben klanten het 'recht om vergeten' te worden. Ik vind het prima om gegevens te verwijderen, maar de Belastingdienst denkt daar anders over met hun zevenjarige bewaarplicht. Tegenstrijdig dus.

En de Kamer van Koophandel dan? Is het dan gedaan met het verstrekken van persoonlijke gegevens aan andere bedrijven? Nee, in de Privacyverklaring van de KvK kun je lezen dat het Handelsregister een openbaar register is; bedoeld voor ondernemers die andere ondernemers willen vinden. Dat zegt eigenlijk genoeg over wat er gaat veranderen: namelijk bizar weinig.

Hoe dan ook: Tekstvisie is inmiddels klaar voor de AVG-storm! Een storm in een glas water.