IT Manager in het MKB: geen verplichtingen omtrent wet AVG?

Abonneer je gratis op Techzine!

De daadwerkelijk invoering van de wet AVG komt in zicht. Ervaar jij als manager in het MKB ook een passieve houding ten opzichte van de wet AVG? Heel begrijpelijk!

Steeds meer organisaties in Nederlands laten weten druk te zijn met de wet AVG. Toch lijkt het hier bij de managers in het MKB nog vaak bij te blijven: in het hoofd druk zijn met de wet AVG. De acties in de praktijk lijken uit te blijven. Waar komt dit door?

  • Door de overload aan informatie die er beschikbaar is en de weinige praktische leidraden, lijken velen de weg kwijt te raken in AVG-land.  
  • Er ontstaan denkfouten, zoals denken dat deze wet voor hen of hun organisatie niet geldt. Dat deze wet enkel van belang is voor persoonsgegevens giganten zoals Facebook of Google.
  • Ook zijn er veel allergische reacties op de bureaucratie en bangmakerij rondom boetes.

Hierdoor lijken vele managers in het MKB geen behoefte te voelen om maatregelen te nemen omtrent de aankomende wet AVG. Toch zou er wel een alarmbelletje moeten gaan rinkelen.

Passieve houding managers onverstandig: verwerkersverantwoordelijke

Elk bedrijf, hoe groot of klein het ook is, verwerkt immers persoonsgegevens. Denk bijvoorbeeld aan de gegevens in het CRM, en persoonsgegevens in diverse andere bedrijfssoftware pakketten.

Als verwerker van de persoonsgegevens, te weten degene die het doel en de middelen voor de verwerking vaststelt, ben jij als manager de verantwoordelijke op het gebied van de bescherming van deze gegevens.  Jij bent de zogenaamde ‘verwerkersverantwoordelijke’.

Tijd dus voor een praktische handleiding en interne motivatie voor voorbereiding op de wet AVG, zodat jij als manager jouw organisatie privacy-proof en zonder kopzorgen door 2018 kan loodsen.

Interne motivatie voorbereiding wet AVG

Met onderstaand stappenplan ben jij straks goed voorbereid. Dat slaapt toch net wat lekkerder. En doe je het niet voor de Autoriteit Persoonsgegevens, doe het dan in elk geval voor je klanten. Want elke klant, c.q. burger, verdient net als jij toch een zorgvuldige omgang met zijn persoonsgegevens?

Daarnaast: door de komst van social media en het web kan 1 ontevreden recensie van je klant het imago van je bedrijf, en je verdere klandizie, om zeep helpen. Stel je bijvoorbeeld eens voor dat een klant een negatieve post plaatst op een reviewsite over je bedrijf en diens onzorgvuldige omgang met zijn gegevens? Tijd dus voor actie en een open-mind ten opzichte van de wet AVG.

Doel wet AVG

Het initiële doel van de wet AVG is helemaal niet het uitdelen van boetes. De wet is een maatregel om het vertrouwen van de burger in de bescherming van zijn persoonsgegevens te herstellen. Deze bleek onder de wet Wbp namelijk minimaal: slechts 15 % van de burgers ervaarde zeggenschap over zijn persoonsgegevens.

Daarom stelt de wet AVG strengere eisen aan de transparantie van bedrijven omtrent de persoonsgegevens die bij hen verwerkt zijn. Burgers moeten inzicht kunnen krijgen in de gegevens, en mogen een bedrijf verzoeken deze gegevens te verwijderen.

Als bedrijf mag je daarnaast bijvoorbeeld iemand niet meer verplichten niet-noodzakelijke persoonsinformatie te verstrekken, bijvoorbeeld met een vast veld in een webformulier. Dit veld moet aan- en uit te vinken zijn. De vrije keuze van de burger bij het al dan niet verstrekken van de informatie aan een bedrijf staat voorop onder de wet AVG.

Het zit hem bij het voldoen aan de wet AVG soms in de kleine dingen, en daarom is het zaak dit als ‘verwerkersverantwoordelijke’ echt even goed uit te zoeken.

Taken verwerkersverantwoordelijke: controle(s)

Als manager kan je nagaan of je deze verwerkersverantwoordelijkheid waar maakt met een aantal simpele controles.

Controle 1: soort persoonsgegevens

Controle 2: inzicht administratie persoonsgegevens

  • Waar zitten de risico’s binnen jullie organisatie?
  • Kan je de bij jullie opgeslagen informatie snel aan klanten verstrekken?
  • Is het proces van verwerking inzichtelijk?  
  • Wie doet wat binnen het bedrijf in dit proces?

Het is hierbij verstandig alle bedrijfsprocessen even systematisch na te gaan wat betreft de verwerking van de persoonsgegevens. Hierbij moet het hele proces bekeken worden: van het verzamelen van de persoonsgegevens tot de back-ups en zelfs het verwijderen/afvoeren van hardware. Vervolgens dienen deze processen privacy-proof (her) ingericht te worden.

Zorg in elk geval voor goede contractuele afspraken (zogenaamde verwerkersovereenkomsten) met alle partijen die te maken hebben met de beveiliging van jullie software. De leverancier van de software kan je tevens ondersteunen bij het implementeren van jullie privacy maatregelen in de software.

  • Welke mogelijkheden biedt de software wat betreft het voldoen aan de wet AVG?
  • Welke keuzes hebben jullie? Welke vinkjes kunnen jullie bijvoorbeeld aan- of uitzetten in de software?

Een belletje naar de leverancier van je software levert vaak een schat aan bruikbare informatie op.

Controle 3: uniforme duidelijkheid

Je kunt de bedrijfsprocessen nog zo mooi hebben ingericht, maar als de medewerkers zich er niet aan houden, is het inrichten van de processen verspilde moeite. Ook dienen deze opgestelde documenten als bewijs voor de wil van jullie bedrijf om te voldoen aan de wet AVG.

  • Zijn er checklisten en handleidingen voor alle medewerkers die met de software werken?
  • Worden er duidelijke logs bijgehouden van de verwerkingen?

Controle 4: monitoren

Stel ook maatregelen in waarmee je door het jaar heen controle kunt houden op een juiste uitvoering van de wet AVG in je organisatie. Check hiervoor eerst of het voor jullie organisatie wellicht verplicht is een functionaris voor de gegevensbescherming aan te stellen.

Blijf je met vragen en twijfels zitten? Of ben je nieuwsgierig geworden en wil je meer te weten komen over de wet AVG?  Er zijn online diverse slimme hulpmiddelen en informatiebronnen beschikbaar:

  • De Autoriteit Persoonsgegevens heeft een checklist samengesteld bestaande uit 10 stappen. Ook ontwikkelden ze hiervoor een overzichtelijke tool.
  • De IBM bracht recentelijk een rapport uit over de AVG en vatte hierin de 10 stappen van de AVG samen in 5 overzichtelijke stappen.
  • Diverse juristen in Nederland hebben zich gespecialiseerd in de wet AVG. Zij kunnen je vertellen welke maatregelen jouw organisatie minimaal moet nemen.
  • Diverse vakverenigingen zijn door de Autoriteit Persoonsgegevens geïnformeerd en kunnen je bij vragen dus verder helpen.

‘Privacy gaat iedereen wat aan’