Een bestelling plaatsen bij een webshop, het aanmelden voor een nieuwsbrief of simpelweg je social media account. Het zijn allemaal voorbeelden waarbij je je persoonsgegevens verstrekt. Je vertrouwt erop dat deze gegevens op een goede manier worden verwerkt door de onderneming waar je ze achterlaat, maar is dit wel altijd het geval?
In het kort: nee, jammer genoeg niet. Daarom is de AVG (Algemene Verordening Gegevensbescherming) in het leven geroepen. De AVG heeft als doel jouw persoonsgegevens te beschermen binnen heel Europa.
Onmogelijke opgave voor ondernemers?
De verordening telt 88 pagina’s en bestaat uit 99 artikelen waarbij het grootste gedeelte gaat over de ondernemer die persoonsgegevens verwerkt. Dat is natuurlijk nogal wat. Toch liet Jacob Kohnstamm (oud-voorzitter van het College Bescherming Persoonsgegevens (CPB) en inmiddels Autoriteit Persoonsgegevens) in een interview weten: “Het is helemaal niet complex. Het is juist eenvoudig: 1. Verzamel niets wat niet noodzakelijk is. 2. Beveilig de gegevens goed. 3. Ga er zorgvuldig mee om en 4. Geef burgers er inzage in. Dat is wat er staat.” Wat Jacob Kohnstamm hier zegt, is eigenlijk de AVG in een notendop. Ondanks deze korte samenvatting, komt er een hoop op ondernemers af. Er zijn meer verplichtingen, er is meer verantwoordelijkheid en de ondernemer heeft meer werk te verrichten. Zo moet hij bijhouden welke persoonsgegevens hij verzamelt en waarom. Niet nodige gegevens mogen niet meer worden verzameld. Een voorbeeld: voor een webshop is het niet relevant jouw bloedgroep te weten, maar om jouw pakket te kunnen bezorgen zijn wel jouw adresgegevens nodig. In zo’n geval mag een webshop dus om je adresgegevens vragen en is dat ook toegestaan.
Wildgroei aan nieuwsbrieven
Een ander voorbeeld is de wildgroei aan nieuwsbrieven. Bijna iedereen ontving vlak vóór of op 25 mei 2018 (datum waarop de AVG in werking trad) een nieuwsbrief met daarin het bericht of je op de hoogte wilde blijven. Waarom? Omdat je voorheen misschien wel nieuwsbrieven ontving zonder daar nadrukkelijk toestemming voor te hebben gegeven. Met de komst van de AVG is dit gelukkig voorbij. Ondernemers moeten kunnen aantonen dat hier toestemming voor is gegeven, anders is het versturen van nieuwsbrieven niet toegestaan. Naast het bijhouden van gegevens komt er nog meer op ondernemers af. Denk bijvoorbeeld aan een privacy statement, een protocol datalekken, een beveiligingsplan, een register van verwerkingen en verwerkersovereenkomsten. Door al die verplichtingen zien ondernemers door de bomen het bos niet meer en lijkt de AVG een onmogelijke verordening om aan te voldoen. Er wordt zelfs gezegd dat geen enkele organisatie voor de volle 100% kan voldoen aan de regelgeving van de AVG. Misschien is dat een enigszins geruststellende gedachte... Bekijk je het door de bril van de consument, dan is de AVG natuurlijk veel beter te begrijpen. Als consument wil je erop kunnen vertrouwen dat je gegevens goed worden bewaard, ze beveiligd zijn, je niet meer informatie verstrekt dan nodig en dat je persoonsgegevens niet zomaar op straat komen te liggen. Die gedachte is dan ook uitgangspunt geweest voor het Europees Parlement en de Raad van de Europese Unie om de AVG in het leven te roepen. Maar voor de ondernemers is die gedachte een doekje voor het bloeden. Hoewel, als zij zich verplaatsen in de rol van de consument (dat is iedere ondernemer natuurlijk ook!), kan ook de ondernemer niet ontkennen dat de AVG een welkom middel is.
Naleving en consequenties
De Autoriteit Persoonsgegevens ziet er in Nederland op toe dat de AVG wordt nageleefd en heeft daarvoor diverse bevoegdheden. Naast het ‘op de vingers tikken’ kan zij ondernemers ook boetes opleggen die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet!
Waar moet een ondernemer beginnen?
Zoals al eerder gezegd, is het niet gek als een ondernemer door de bomen het bos niet meer ziet. Mijn advies is om allereerst te beginnen met bewustwording. Bewustwording over de stromen van persoonsgegevens binnen de organisatie. Inventariseer waar en op welke wijze dat soort gegevens worden verzameld, uitgewisseld en wat ermee gaat gebeuren. Afhankelijk daarvan moet bekeken worden of dat op een goede manier gebeurt. Worden er persoonsgegevens gevraagd die niet nodig zijn? Worden er persoonsgegevens aan derden verstrekt zonder goede grondslag? Worden de persoonsgegevens wel goed beveiligd? Wanneer je dit inzichtelijk hebt, kan je dit makkelijker vastleggen. Vergeet niet dat dit voor zowel intern als extern geldt. Voor intern moet je denken aan een geheimhoudingsovereenkomst met je personeel/ingeschakelde zzp’er, of een verwerkingsregister. In zo’n register houd je o.a. bij wat je van je klanten aan persoonsgegevens verzamelt en waarom. Bij extern kan je bijvoorbeeld denken aan de administrateur aan wie je de salarisadministratie uitbesteedt. Besteed je iets uit en is er sprake van een uitwisseling van persoonsgegevens, dan is het wel zo verstandig een verwerkersovereenkomst aan te gaan. Daarin zet je de afspraken met de andere partij op papier (in dit geval de administrateur) zodat ook hij zorgvuldig omgaat met de gegevens van jouw personeel. Het idee van de AVG is: een hele keten van partijen te hebben, waarmee wordt afgesproken dat persoonsgegevens juist worden verwerkt. Het is veel werk, maar niet onmogelijk.
Kortom: een hoop extra werk voor ondernemers, maar een veiligere digitale wereld voor de consument. Is de AVG een onmogelijke opgave? U mag het zeggen.
