In een paar stappen naar een privacy-administratie

© RTV Noord
Privacy wordt met de invoering van strengere regels een onderwerp waar voor ondernemers geen ontkomen meer aan is. Vorige week gaf NoordZaken-expertblogger Peter Fousert een voorschot. Advocaat en privacy-specialist Koen Konings legt vandaag uit hoe een privacy-administratie moet worden opgezet.
Door Koen Konings

Ondernemers gaan gebukt onder toenemende regeldruk. Ook voor de verwerking van persoonsgegevens, een onderdeel van ons privacyrecht, gaat het een en ander binnenkort veranderen. Om daarvoor de zaak op orde te brengen heeft u nog maar een klein jaar de tijd.
Want op 25 mei 2018 wordt de huidige Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Een set regels voor alle organisaties in Europa die met persoonsgegevens werken. Er zijn maar weinig organisaties te verzinnen die niet met persoonsgegevens werken.

Hoge boete

Want welke organisatie heeft er nou geen klantgegevens, contactgegevens van leveranciers, cookies op de websites, enzovoort? Dat zijn allemaal zogeheten 'verwerkingen' van persoonsgegevens. Privacyregels zijn dus vrijwel altijd van toepassing. En leeft u die niet na, dan staan daar hoge boetes op.

Op papier

De grootste verandering is de verschuiving naar een verantwoordingsplicht voor bedrijven en organisaties. Nu nog is er alleen de verplichting om gegevensverwerkingen vooraf te melden bij de Autoriteit Persoonsgegevens. Die verplichting wordt vervangen door een documentatieplicht. U zult met andere woorden op papier moeten kunnen aantonen dat u de regels naleeft.

Optuigen

De plicht voor ieder bedrijf om zich te verantwoorden leidt dus tot het optuigen van een geheel nieuwe privacy-administratie. Dat moet in schriftelijke vorm, maar mag ook (deels) elektronisch. Daarmee toont u aan dat uw bedrijf zich houdt aan de Europese beginselen zoals rechtmatigheid, minimale gegevensverwerking, opslagbeperking en integriteit en vertrouwelijkheid.

Uitleg

De meest vergaande plicht is het 'register voor verwerkingsactiviteiten'. Voor ieder bedrijf dat persoonsgegevens verwerkt geldt deze plicht. Dat betekent dat bedrijven moeten nagaan welke persoonsgegevens worden verwerkt bij welke processen. Dat moet dan op gestructureerde wijze worden vastgelegd. Met uitleg over:
- Het doel van opslag van de persoonsgegevens
- Het soort persoonsgegevens, de betrokkenen én ontvangers
- De termijnen waarop de gegevens worden gewist
- Hoe de gegevens beveiligd zijn.

Voorbereiding

Het is dus verstandig om u tijdig voor te bereiden. Mijn tips:
- Ga na wat uw bedrijf doet met persoonsgegevens over personeel, klanten, toeleveranciers, cookies, enzovoort.
- Besef dat voor de verwerkingen van de gegevens de nieuwe regels gelden en dat u aan moet kunnen tonen dat u ze nakomt.
- Oriënteer u op hoe u de regels kunt naleven. Is het nodig een privacy-expert in de arm te nemen of verdiept u zichzelf in de materie en kiest u voor zelfstandig bijhouden van de privacy-administratie?
Koen Konings is IT-advocaat bij ZENN Advocatuur te Groningen en initiatiefnemer van Privacy-Administratie.nl

Lees ook:
- Privacyregels aangescherpt; ondernemer pas op je tellen
- Lees hier meer NoordZaken artikelen
- Lees hier andere Xpertblogs