Menu
neem contact op

AVG stappenplan

Er is al veel geschreven over de nieuwe privacywet: de Algemene Verordening Gegevensbescherming en toch voldoen veel bedrijven nog niet aan de regels. De AVG geldt ook voor ZZP’ers en het MKB. Is jouw onderneming al privacy proof?

Delen:

AVG stappenplan; zo maak jij jouw onderneming privacy proof

Er is al veel over geschreven en toch zijn er nog veel ondernemers die niet voldoen aan de nieuwe privacywet; de Algemene Verordening Gegevensbescherming (AVG). Deze wet is al in 2016 goedgekeurd en vervolgens hebben bedrijven 2 jaar de tijd gehad om hun onderneming privacy proof te maken. Vanaf 25 mei 2018 moet iedere onderneming dan ook aan de verplichtingen uit de AVG voldoen.

Ik ben maar een ZZP’er

Misschien denk je, die wet geldt alleen voor grote bedrijven, wat moet ik daar als ZZP’er of kleine onderneming mee? Of misschien weet je niet waar je moet beginnen of heb je het veel te druk om je er in te verdiepen? Toch gelden de verplichtingen uit de AVG ook voor jou. Naast het risico van een gegevenslek heb je zelfs kans op een flinke boete als je niet voldoet aan de wet.

Om het wat makkelijker voor je te maken. Heb ik een AVG stappenplan gemaakt zodat je precies kunt zien of jij al aan de AVG voldoet of wat je nog moet veranderen.

AVG stappenplan

Stap 1: Maak een verwerkingsregister

Dit is een overzicht wat je bijv. in Excel maakt met de volgende info:
Op welke manier verzamel jij gegevens van klanten, opdrachtgevers of personeel?
Bijvoorbeeld via email, via een contactformulier op je website, telefonisch, via vragenlijsten, via whatsapp of via social media.  

Welke persoonsgegevens verzamel je?
Bijvoorbeeld voor- en achternaam, adres, social media accounts, telefoonnummer, e-mailadres, geboortedatum, IP-adres etc. Let op bij de verwerking van bijzondere persoonsgegevens zoals burgerservicenummer, pasfoto’s en gezondheidsgegevens; deze gegevens mag je alleen verwerken in bepaalde gevallen.

Waarom (met welk doel) verzamel jij die gegevens?
In de AVG worden 6 redenen genoemd waarom jij persoonsgegevens mag verzamelen. Bijvoorbeeld jij hebt gegevens nodig om bestelde producten te kunnen leveren of om een dienst te kunnen verlenen, om offertes of facturen te maken of om te voldoen aan een wettelijke verplichting. Als jij de gegevens ook voor andere doelen wilt gebruiken, moet je dit duidelijk aangeven en soms zul je hier toestemming voor nodig hebben.

Let op: verzamel alleen persoonsgegevens die je echt nodig hebt. Je mag maar beperkt persoonsgegevens opslaan. Vraag dus bijv. geen geslacht, geboortedatum en leeftijd als je die gegevens niet nodig hebt.

Hoelang heb jij de persoonsgegevens nodig en hoe lang bewaar jij ze?
Je mag de gegevens niet langer bewaren dan noodzakelijk. Offertes en facturen bewaar je 7 jaar omdat dat wettelijk verplicht is. Andere gegevens hoef je zo lang niet te bewaren. Kijk dus bijvoorbeeld 1 keer per jaar eens goed welke gegevens je kunt verwijderen.

Alle persoonsgegevens die jij verzamelt moet je goed beveiligd opslaan.
Dit kun je bijv. doen door: ervoor te zorgen dat jouw website gebruik maakt van een SSL netwerkverbinding, IP-adressen te anonimiseren en beveiligingssoftware te gebruiken zoals een virusscanner en firewall. Gegevens worden het liefst opgeslagen op servers die binnen de EU staan. Staat de server buiten de EU, kijk dan goed of het bedrijf een privacybeleid heeft en zich houdt aan de regels uit de AVG.

Stap 2: Sluit een verwerkersovereenkomst                

Als andere bedrijven voor jou persoonsgegevens verwerken bijv. de salarisadministratie die je uitbesteedt of een softwarebedrijf dat jouw nieuwsbrieven gaat versturen, dan maak je hier afspraken over in een verwerkersovereenkomst. Zo zorg je ervoor dat de verwerker zorgvuldig met de gegevens van jouw klanten, personeel of opdrachtgevers omgaat.

Twijfel je of je een verwerkersovereenkomst nodig hebt? Lees dan deze blog eens: Verwerkersovereenkomst nodig?

Stap 3: Stel een privacyverklaring op

Het moet voor jouw klanten, personeel en opdrachtgevers duidelijk zijn welke persoonsgegevens je verzamelt, waarom je dit doet en hoe lang je de gegevens bewaart. Dit wordt ook wel de informatieplicht genoemd. De makkelijkste manier om hieraan te voldoen is door het (laten) opstellen van een privacyverklaring. De informatieplicht geldt voor elke ondernemer. Je stuurt de privacyverklaring samen met je algemene voorwaarden en offerte naar de klant of je plaatst hem op je website. Meer over de privacyverklaring lees je in mijn blog: “Privacyverklaring; heb ik die nodig?”.

Stap 4: Houdt rekening met privacy rechten

Zorg ervoor dat jouw klanten, opdrachtgevers en personeel hun privacy rechten kunnen uitoefenen. Mensen kunnen je bijvoorbeeld vragen hun persoonsgegevens te wissen of te wijzigen.

Stap 5: Houdt alle documenten up-to-date

Wanneer jouw manier van werken verandert, je andere gegevens gaat verzamelen, of als je bijv. wisselt van cloudprovider, pas dan het verwerkingsregister, de privacyverklaring en/of de verwerkersovereenkomst aan.

Als je een kleine onderneming hebt met minder dan 250 medewerkers voldoe je aan de AVG als je bovenstaand stappenplan volgt. Als je op grote schaal bijzondere persoonsgegevens verwerkt of bijv. in gegevens handelt of meer medewerkers in dienst hebt, zul je nog aan meer verplichtingen moeten voldoen.

Wil je een privacyverklaring of een verwerkersovereenkomst op laten stellen of na laten kijken, wil je een format voor een verwerkingsregister of wil je meer informatie, neem dan contact met mij op!

Ik ben Maaike

Ik ben jurist voor ondernemers. Maar dan niet stoffig en saai.
Taaie stof begrijpelijk maken, dat is waar mijn kracht ligt.

Let's get social

Instagram Linkedin Facebook

Populair:

Download nu mijn geniale e-book

En leer al mijn geheimen. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Vestibulum efficitur quam vel scelerisque consectetur.