Het kan u niet zijn ontgaan: op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De implementatie van de nieuwe privacywetgeving roept bij veel organisaties vragen op. Daarom hieronder de belangrijkste privacy ins & outs met betrekking tot de AVG op een rij.

Privacy, waar gaat dit eigenlijk over?

Juridisch betreft het een afweerrecht dat uw persoonlijke levenssfeer beschermt. De AVG gaat hier strikter op in en vervangt de Wet bescherming Persoonsgegevens vanaf 25 mei 2018.

De Van Dale beschrijft dat recht op die persoonlijke levenssfeer onder andere als:

Zelf bepalen wie welke informatie over ons krijgt.

De wens onbespied en onbewaakt te leven.

Dat klinkt goed in deze steeds drukkere maatschappij met allerlei social media, camera’s en computers die continu alles vastleggen wat u doet en zegt en nog nét niet wat u denkt. Het is waardevol om dit recht na te streven en te beschermen en daar uw bijdrage als ondernemer aan te leveren.

Waarom is uw privacy geld waard?

Uw persoonsgegevens zijn geld waard en dus komt uw privacy steeds meer in gevaar. Tezamen met de gegevens van anderen vormen uw persoonsgegevens de wereld van big data, en dat is nog nét geen bitcoin. Lijsten van deze gegevens worden verkocht óf gestolen (datalekken) voor commerciële doeleinden, maar óók voor criminele doeleinden. Denk aan identiteitsfraude om er een uitkering mee aan te vragen, uw bankrekening te plunderen of zelfs om mee in te breken in uw huis door uw alarm uit te zetten met uw code. De Europese Unie wil met de AVG voorkomen dat onze vertrouwelijke gegevens in verkeerde handen komen door datalekken (door o.a. hacking, verlies van gegevens). Big data is immers ook big bad business.

Om welke privacygegevens gaat het eigenlijk?

Het gaat niet alleen om uw NAW-gegevens, zoals naam, e-mailadres, telefoonnummer en postcode. Het gaat ook om gegevens die herleidbaar zijn tot uw persoon, zoals een kenteken of een IP-adres. Verder gaat het om persoonlijke gevoelige gegevens en documenten, zoals uw seksuele geaardheid, uw paspoort, uw geheime gegevens (bijvoorbeeld uw wachtwoorden) of vertrouwelijke gegevens (bijvoorbeeld uw medisch dossier of uw BSN-nummer).

Wat heeft privacy te maken met cybersecurity?

Cybersecurity heeft vooral te maken met de brede ICT-technische beveiligingskant van de elektronisch opgeslagen persoonsgegevens, maar ook van andere gevoelige data. Zoals geheime of vertrouwelijke bedrijfsgegevens waarin geen persoonsgegevens staan, bijvoorbeeld winst- en omzetcijfers of prijsberekeningen en marges, productontwikkelingsdocumenten en software (bron)codes. Privacy gaat vooral om het waarborgen van het recht op geheimhouding van uw vertrouwelijke offline en online persoonlijke gegevens. Het gaat ook uw zelfbeschikkingsrecht daarover. Zoals het recht om te weten wat er allemaal wordt verzameld over u, het recht om vergeten te worden, etc. De AVG gaat om de plicht voor organisaties om die rechten beter te borgen in hun bedrijfsprocessen. Aangezien die rechten in gevaar komen als de cybersecurity van organisaties niet op orde is, is het nemen van “passende technische maatregelen” één van die verplichtingen van de AVG, maar zeker niet de enige verplichting! Er zijn ook juridische administratieve verplichtingen. Zoals het moeten aanleggen van een verwerkers- en beveiligingsincidentenregister, het moeten sluiten van verwerkersovereenkomsten, het plaatsen van privacystatements op uw website, etc. Ook zijn er organisatorische maatregelen die getroffen moeten worden, zoals het eventueel aanstellen van een functionaris gegevensbescherming, het doen van een special privacy impact assessment bij risicovolle (IT) projecten en het geven van privacy-awareness trainingen aan uw personeel.

Maakt de AVG een onderscheid tussen corporates en het MKB en ZZP‘ers?

Op juridisch vlak maakt de AVG dit onderscheid in principe niet. Alle organisaties moeten de AVG naleven, dus ook ZZP’ers en eenmanszaken. Het wordt voorzien, en ik merk dat dagelijks, dat de invoering van de AVG (GDPR) problemen gaat opleveren voor het MKB. De AVG is abstract en complex en maakt geen direct onderscheid tussen grote ondernemingen en het MKB. Corporates hebben een batterij aan juristen, maar het MKB heeft geen juristen in dienst en heeft geen tijd en geen grote budgetten. Dit terwijl de AVG net zo goed van MKB-bedrijven verwacht dat zij er zelf intern alles aan doen om de persoonsgegevens te beschermen.

Waar gelukkig wel rekening mee wordt gehouden is dat het gaat om “passende” technische maatregelen. Passend betekent namelijk naar draagkracht van het bedrijf! Dus een MKB-bedrijf zal niet dezelfde (dure) ICT technische maatregelen hoeven te nemen als een ziekenhuis of een Ahold.

Waarom zou mijn bedrijf aan de AVG willen voldoen?

Ten eerste is het een wettelijke plicht om alle beschermings- en veiligheidsmaatregelen te nemen die de AVG oplegt. Er staan flinke boetes op als u de wet niet naleeft. Ten tweede heeft u bij het naleven van de AVG een groot zakelijk belang. “AVG-proof-ondernemer” zal steeds meer een (kwaliteits)eis worden van uw contractspartners, vooral als u levert aan grotere partijen. Het is simpelweg een unique selling point in offertetrajecten richting uw klanten en een teken van goed werkgeverschap richting uw sollicitanten en werknemers. In de Due Diligence onderzoeken van verkooptrajecten van bedrijven wordt steeds vaker gekeken of uw bedrijfsprocessen wel goed zijn ingericht om de AVG na te leven. Dit kan de waarde van uw onderneming aanzienlijk positief beïnvloeden. Bedrijfsverzekeringen, zoals de cybersecurityverzekeringen, gaan steeds meer eisen stellen dat u kunt aantonen dat u AVG-proof onderneemt. Tot slot is het ook een maatschappelijk belang om de privacy van uw klanten en werknemers te willen beschermen. U bent immers als ondernemer net zo een burger die zijn grondrecht op privacy niet geschaad wilt zien. Wat gij niet wilt dat u geschiedt, doet dat ook een ander niet.

Privacy-proof zijn gaat dus niet alleen om wettelijke plichten, maar ook om andere wezenlijke zakelijke belangen. Ook gaat het om maatschappelijk verantwoord ondernemen, immers u wilt in een privacy veilige omgeving kunnen leven.

Hoe wordt mijn bedrijf privacy-proof?

Een bedrijf privacy-proof maken kan via de volgende stappen:

Start met een externe privacy (ICT) nulmeting. Ontdek waar uw organisatie staat en welke stappen en verbetertaken nog concreet ingezet moeten worden onder de AVG om 100% privacy-proof te ondernemen. Maak gebruik van digitale tools die steeds meer op de markt verschijnen om verbetertaken uit de externe nulmeting gemakkelijker en betaalbaarder uit te voeren. Hiermee kan soms ook voldaan worden aan de verplichting in de AVG om alles te loggen. U heeft daarmee direct bewijs in handen dat u richting de autoriteiten en derden alle maatregelen heeft genomen en blijft nemen om datalekken te voorkomen. Privacyconsultancy huurt u in bij losse privacyvraagstukken. Bijvoorbeeld op het grensvlak van arbeidsrecht en privacy. Of als u bijvoorbeeld een screening nodig heeft van een verwerkersovereenkomst. Privacytrainingen en kennissessies zijn goed om zelf te volgen en om uw medewerkers te laten volgen. Zo krijgt u intern het kennisniveau over de privacywetgeving op peil. Dat is belangrijk, immers uw mensen moeten de AVG naleven en doorvoeren.

Hella Vercammen is jurist en directeur bij The Legal Company. De dienstverlening aan het MKB rondom het privacyrecht wordt verleend vanuit de zusteronderneming, The Legal Privacy Company (TLPC) in Amstelveen.

Op de website van The Legal Company vindt u uitgebreidere informatie over de ideale AVG-implementatie tools van TLPC