De nieuwe privacyregels: Wat je als bedrijf allemaal moet doen

© RTV Noord
Bedrijven die persoonsgegevens bewaren krijgen binnenkort te maken met strengere privacyregels. De ene ondernemer denkt dat het wel los zal lopen, andere bedrijven vragen zich af wat ze met de nieuwe regels moeten.
Tijd voor een uitleg over wat er in de privacy-administratie moet worden vastgelegd. NoordZaken-expertblogger en privacy-advocaat Koen Konings weet er alles van.

Door Koen Konings

Er is al een paar keer een expertblog verschenen over de nieuwe en strengere privacywetgeving, oftewel de Algemene Verordening Gegevensbescherming (AVG).
In mei 2018 gaat deze AVG in en de nieuwe privacyregeling brengt voor alle bedrijven die werken met persoonsgegevens een registratieplicht met zich mee die behoorlijk ver gaat.

Verplichtingen

De AVG verplicht ieder bedrijf dat werkt met persoonsgegevens 'rechtmatig en zorgvuldig' met die data om te gaan. Het bedrijf moet dat ook kunnen aantonen.
Maar de verplichting gaat nog verder. Want er moet ook een 'register voor de verwerkingsactiviteiten' worden opgetuigd en worden onderhouden.
AVG verplicht bedrijven rechtmatig en zorgvuldig met gegevens om te gaan
Koen Konings - privacy-advocaat

Wat is het?

In het 'register voor de verwerkingsactiviteiten' houdt het bedrijf bij hoe het met persoonsgegevens omgaat. Dat moet een deugdelijke en gestructureerde administratie zijn.
Daarin moet aandacht worden besteed aan:
- waarom persoonsgegevens worden opgeslagen en verwerkt;
- welke gegevens worden opgeslagen, zowel van diegenen op wie de gegevens betrekking hebben als van de ontvangers van de gegevens;
- op welke termijn de persoonsgegevens worden gewist;
- en de beveiliging van de persoonsgegevens, technisch en organisatorisch.

Wanneer verplicht?

De Europese wetgever heeft kleine ondernemingen niet al teveel willen belasten. Er wordt daarom rekening gehouden met de omstandigheden van kleine, middelgrote en micro-ondernemingen.
De AVG bevat daarom een afwijking voor organisaties met minder dan 250 werknemers. Die uitzondering geldt helaas niet wanneer de verwerkingen 'niet incidenteel', oftewel structureel zijn. In de praktijk geldt voor de meeste bedrijven die persoonsgegevens bewaren dat dit op een structurele manier gebeurt. Denk maar aan personeelslijsten, klantenlijsten en nieuwsbriefsystemen.
De Europese wetgever heeft kleine ondernemingen niet al teveel willen belasten
Koen Konings - privacy-advocaat

Verwerkers

Dan zijn er naast de ondernemingen zelf ook nog de verwerkers. Dat zijn de ICT-bedrijven die zijn ingeschakeld voor bijvoorbeeld de kantoorsoftware of voor het versturen van mailings aan relaties.
Ook de verwerker moet een register bijhouden van verwerkingsactiviteiten die worden gedaan in opdracht van anderen. Dit register hoeft niet zo uitgebreid te zijn als dat van de opdrachtgever, maar het zal zeker ook een flinke administratieve klus zijn.
Omdat verwerkers per definitie persoonsgegevens op een structurele manier opslaan gelden de nieuwe regels in de praktijk voor ieder ICT-bedrijf dat zich ermee bezig houdt.

Verstandig

Het is dus verstandig om tijdig voorbereidingen te treffen. Mijn tips hierbij:
- ga na wat uw bedrijf doet met persoonsgegevens over personeel, klanten, toeleveranciers, cookies, enzovoort;
- breng de organisatorische en technische maatregelen in kaart waarmee deze persoonsgegevens worden beveiligd;
- Kies een wijze waarop uw bedrijf het register wilt vormgeven. Doe u het zelf met een standaardmodel van een privacy-administratie, of schakelt u een expert in?
Koen Konings is IT-advocaat bij NORD te Groningen en initiatiefnemer
van Privacy-Administratie.nl.

Eerdere Xpertblogs zijn

hier te lezen