09 feb. 2018 | Nieuws, Security

AVG in een notendop

AVG

Wat is de AVG / GDPR ?

De afkorting AVG staat voor Algemene Verordening Gegevensbescherming (AVG). Het is een wet, waarin de regels rondom de privacy van personen zijn vastgelegd. In de Europese Unie gelden vanaf 25 mei 2018 overal dezelfde regels. Toch heeft de wet niet in elk land dezelfde benaming. De term “GDPR” oftewel: General Data Protection Regulation, wordt tevens gebruikt.

Autoriteit Persoonsgegevens

Kan je als organisatie de regels die in de wet staan niet nakomen dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen. Ter illustratie: boetes kunnen oplopen tot 4% van je wereldwijde omzet. Geen wonder dat er veel vragen zijn. In dit blog beantwoorden we de belangrijkste vragen.

Inhoudsopgave

  1. Wat betekent de AVG voor ondernemers?
  2. Verwerkers en verwerkersverantwoordelijke?
  3. De AVG biedt ook mogelijkheden
  4. Conclusie

Privacy

 

Wat betekent de AVG voor ondernemers?

AVG in een notendop

In de wet staat dat alle bedrijven (én overheden) moeten registreren welke gegevens van personen ze verzamelen. Vervolgens moet worden vastgelegd waarom het opslaan van deze data noodzakelijk is. Bovendien dien je te registeren hoelang deze gegevens bewaard worden.

Een belangrijke misvatting is dat deze wet alleen gevolgen heeft voor ondernemers die zich richten op de B2C markt. Niets is minder waar.

AVG 25 mei De AVG verplicht je :

  • Toestemming te vragen voor het verzamelen van persoonsgegevens
  • Inzicht te bieden in welke gegevens je verzameld van personen
  • Aan te kunnen tonen welke gegevens je bewaard, waarom én hoelang
  • Maatregelen te nemen om beveiliging risico’s tot een minimum te beperken
  • Bewijs te leveren van de maatregelen die je getroffen hebt om de verzamelde gegevens te beveiligeOp verzoek inzage te geven in de gegevens die je van een persoon bewaard én deze te verwijderen

Verzamelen & toestemming

In de AVG wordt gesproken over rechtmatigheid, behoorlijkheid en transparantie. Voor alle gegevens die je verzameld moet je kunnen verantwoorden of verwerking rechtmatig en behoorlijk is. Oftewel of het noodzakelijk is. Wanneer een persoon de vraag stelt ‘waarom’ en ‘waarvoor’ wordt mijn informatie verwerkt, moet dit duidelijk toegelicht kunnen worden.

Wil je persoonsgegevens verwerken? Dan dien je hier expliciet toestemming voor te vragen. Dat geldt voor al je communicatiekanalen. Op je website vraag je bijvoorbeeld toestemming voor het verzamelen van cookies. Werf je leads via je website dan vraag je toestemming voor het opslaan van die gegevens. Ook e-mail marketing campagnes zijn gebonden aan strenge regels. Toestemming van je contactpersonen is ook hier weer verplicht voor het versturen van commerciële e-mail.

CRM SupportKoop je gegevens voor koude acquisitie? Vergis je niet; deze data is niet rechtenvrij. Ook deze personen moeten eerst toestemming verlenen vóór je de gegevens mag opslaan en verwerken.

Register voor het verwerken van persoonsgegevens

Zodra de AVG in werking trad, werd het verplicht een register te onderhouden waarin je de verwerkingen van persoonsgegevens vermeld. Het gaat hierbij voornamelijk om transparantie. In dit register worden de volgende gegevens opgenomen:

  • naam en de contactgegevens van je onderneming;
  • doelen waarvoor je gegevens verwerkt;
  • beschrijving van de categorieën van betrokkenen;
  • beschrijving van de categorieën van persoonsgegevens;
  • categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
  • doorgifte van persoonsgegevens aan een niet EU land;
  • termijnen waarbinnen de verschillende categorieën van gegevens worden gewist;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

PerfectView heeft een voorbeeld (excel sheet) AVG register verwerkingsverantwoordelijke opgesteld.

Maatregelen & controle

Maatregelen en controleOm organisaties te helpen om privacy risico’s in beeld te brengen, wordt een Privacy Impact Assessment gebruikt. Een Privacy Impact Assessment (PIA) stimuleert organisaties om proactief na te denken over manier waarop informatie verzameld wordt.

Heb je de risico’s duidelijk in beeld? Dan kan je maatregelen nemen om deze tot een minimum te beperken. De bescherming van persoonsgegevens begint met de beoordeling of de genomen maatregelen een passend beschermingsniveau garanderen.

Het grootste succes ontstaat wanneer de gekozen maatregelen onderdeel van de dagelijkse praktijk in een organisatie zijn. Op die manier garandeer je ook toezicht op de gemaakte afspraken.

Recht op inzage en vergeten

InzichtDe AVG geeft een persoon het recht zijn of haar eigen persoonsgegevens bij een organisatie op te vragen. Tevens kan men het verzoek doen deze binnen maximaal dertig dagen te ontvangen of te laten verwijderen. De AVG geeft aan in welk bestandsformaat deze overdracht moet plaatsvinden. (bijvoorbeeld; XML, JSON of CSV.)

Een persoon kan alle gegevens en historie opvragen. Bijvoorbeeld persoonsgegevens ingevuld op een webformulier (naam, adres, geboortedatum), maar ook gegevens over zoekgedrag naar én op je website.

Ook het verzoek om alle gegevens te wissen behoort tot de mogelijkheden. De  voorwaarden hiervoor worden door de Autoriteit Persoonsgegevens toegelicht.

 

Hoe ga je hier nu goed mee om? Voor kleinere ondernemingen zijn handmatige acties vaak voldoende. Voor groter bedrijven die veel data verwerken is dit niet vanzelfsprekend. Een CRM systeem kan in deze gevallen een uitkomst bieden.

Verwerkersovereenkomsten

Een ander belangrijk onderdeel van de wet is de verantwoordelijkheid voor gegevens die je in opdracht van een ander verzameld. Wij als CRM leverancier van PerfectView CRM Online hebben op verschillende manieren met de nieuwe wet rekening te houden. We verzamelen uiteraard persoonsgegevens. Maar we bieden ook een platform waarin onze klanten hun eigen persoonsgegevens verzamelen. In de nieuwe wet is met beide situaties rekening gehouden.

Verwerkers en Verwerkersverantwoordelijke

In de situatie waarin PerfectView gegevens verzamelt zijn wij “verwerker verantwoordelijk”. In de situatie waarin PerfectView een platform biedt om gegevens te verzamelen zijn wij “verwerker”.

Voor alle verwerkte privacygevoelige gegevens ben je als ondernemer verwerkingsverantwoordelijke. Dit houdt in dat je moet bepalen of de gegevens verwerkt mogen worden en strikt noodzakelijk zijn voor het verwerkingsdoel. Ook in de rol van verwerker zijn er meerdere verantwoordelijkheden om zorg te dragen voor een veilige verwerking van persoonsgegevens.

Alle ins- en outs van de AVG worden besproken op de CRM Community.

De AVG biedt ook mogelijkheden

De wet biedt ook veel mogelijkheden. Door opnieuw met een creatief oog naar je processen te kijken kun je ervoor zorgen dat je jezelf onderscheidt van je concurrent. Bovendien dwingt het je ook om huidige processen te versimpelen.

Veel bedrijven werken op basis van Excellijstjes en Word documenten waarin data wordt opgeslagen.

De vraag óf je daadwerkelijk alle informatie kan terugvinden, als niet precies inzichtelijk is wáár alle data zich bevind, is onvermijdelijk. Wie heeft er binnen organisatie toegang tot de gedeelde mappen? Wie heeft rechten tot je inbox? Belangrijke vragen die beter zo snel mogelijk kunnen worden beantwoord.

Een CRM systeem waarin je persoonsgegevens centraliseert en herleidbaar, aanpasbaar en verwijderbaar opslaat kan een grote hulp zijn. Zodra bijvoorbeeld het verzoek komt om gegevens van een persoon te wissen geeft een CRM systeem je direct inzicht.

Conclusie

Al met al vraagt de invoering van de AVG om een grondige evaluatie van al je bedrijfsprocessen. Voor de optimale bescherming van de persoonsgegevens is vooral de bewustwording van groot belang, iedereen zal op de hoogte moeten zijn van de privacyregels en moeten inschatten wat de impact van de AVG is op de processen in de organisatie.

Wil je meer weten over de AVG / GDPR? Wij adviseren je graag. Neem contact met ons op of probeer ons CRM systeem 14 dagen gratis.