Het lijkt nog zo ver weg, de wet AVG. Met alle voorbereidingen die je als ondernemer moet treffen, kun je niet vroeg genoeg beginnen. Per 25 mei 2018 gaat deze wet namelijk in. Als ondernemer mag je flink aan de bak om alles volgens de regels te doen. Dit geldt voor zzpérs, maar ook voor mkb’ers, multinationals, etc. Heb jij jouw zaken niet op orde? Een boete van maximaal 20 miljoen euro kan het gevolg zijn. Om die reden ben ik voor jou en voor mij in de wet AVG gedoken!

Welke persoonsgegevens mag je verzamelen?

Je mag persoonsgegevens blijven verzamelen. Dit mag alleen op basis van:

  • Toestemming van de gebruiker
  • Vitale belangen
  • Wettelijke verplichting
  • Overeenkomst
  • Algemeen belang
  • Gerechtvaardigd belang

Het moet voor bezoekers van jouw website duidelijk zijn waar zij zich voor inschrijven. Stel: jij hebt een inschrijfformulier op jouw website staan waar mensen een gratis e-book kunnen aanvragen. Dan dien je ervoor te zorgen dat het voor deze mensen duidelijk is of en hoe vaak zij nog vervolgmails ontvangen.

Dit zijn de nieuwe verplichtingen

Als bedrijf dien je jezelf te houden aan een aantal verplichtingen, namelijk:

  • Je moet duidelijk zichtbaar een privacyverklaring op je website hebben. Zorg dat deze up to date is!
  • Je hebt toestemming nodig van de personen van wie je gegevens verwerkt.
  • Personen van wie je gegevens verwerkt, hebben het recht om hun persoonsgegevens in te zien, aan te passen en zelfs te laten verwijderen.
  • Je bent verplicht om bewerkersovereenkomsten te hebben met alle bedrijven die voor jou persoonsgegevens verwerken.
  • Personen van wie je gegevens verwerkt, hebben het recht op het indienen van een klacht bij de Autoriteit Persoonsgegevens (AP).
  • Je hebt meldplicht bij datalekken en dit meld je bij het Meldloket Datalekken AP.

Start zorgvuldig

Ga terug naar de basis van jouw bedrijf en zorg ervoor dat je zorgvuldig omgaat met alle gegevens die jij als bedrijf verzamelt. Er zijn twee zaken waar jij als ondernemer rekening mee dient te houden: 

  • Privacy by design

Bij het ontwerpen van alle producten en diensten wordt er direct vanaf het begin voor gezorgd dat persoonsgegevens goed worden beschermd. Daarnaast worden er niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. Ze worden ook niet langer bewaart dan nodig.

  • Data protection impact assessment (DPIA)

Organisaties waarbij gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen, zijn verplicht om een DPIA uit te voeren. Dat is een instrument dat vooraf de privacyrisico’s van een gegevensverwerking in kaart brengt. Vervolgens kunnen deze organisaties maatregelen nemen om de risico’s te verkleinen.

Verstuur jij een nieuwsbrief? Let dan hier op

Ook wanneer jij nieuwsbrieven verstuurt, dien je extra maatregelen te nemen. Zorg ervoor dat je dit alles al voor 25 mei hebt geïmplementeerd:

  • Zorg dat alle opt-ins die je op je website of op je social media kanalen hebt staan, voldoen aan de eisen. Dus zorg ervoor dat mensen weten waar ze zich voor inschrijven en hoe vaak zij een e-mail kunnen verwachten.
  • Je mag mensen niet meer mailen wanneer iemand zich uitschrijft voor je nieuwsbrief. Ook wel logisch natuurlijk 😉
  • Mensen moeten terug kunnen mailen. Zorg ervoor dat je dus geen noreply@ e-mailadres meer hebt als afzender.
  • Je mag bij het inschrijfformulier alleen iemands naam en e-mailadres opvragen. Wanneer je om andere gegevens vraagt, dien je aan te geven waarom je die nodig hebt.
  • Controleer of de softwareleverancier va jouw nieuwsbrief AVG proof is!

Ben jij al klaar voor de wet AVG? Laat het mij weten in een reactie!