Voldoen aan alle eisen van de AVG doe je als mkb’er of zzp’er niet alleen om een vinkje te halen. Of tenminste: het zou zonde zijn als je het zo ziet. Compliance heeft namelijk een hoop businessvoordelen, van een hoger cybersecurityniveau tot meer waarde halen uit (persoons)gegevens. Let wel: AVG compliant worden én blijven is een uitdaging. Onze 12 tips helpen je daarbij.
Al sinds 2018 geldt de Algemene Verordening Gegevensbescherming (AVG) in Nederland. Hoewel de berichtgeving rondom deze nieuwe privacy wetgeving gaandeweg minder hot is geworden, is de relevantie voor mkb’ers en zzp’ers onverminderd groot.
Op ieder moment moet je namelijk AVG-compliant zijn. En dat heeft veel meer om handen dan een privacyverklaring opstellen. Plus: ga je de mist in? Dan kunnen de consequenties voor je onderneming (zeer) groot zijn.
Het idee achter de AVG
Als ondernemer is het goed om steeds de gedachte achter de AVG in het achterhoofd te houden. De wet stelt in zekere zin dat persoonsgegevens van de persoon in kwestie ‘zijn’. Bij iedere verwerking breek je als ondernemer in feite in op iemands privacy.
De AVG dicteert hoe organisaties met persoonsgegevens moeten omgaan én geeft mensen concrete – afdwingbare – privacyrechten. Klanten kunnen je bijvoorbeeld verzoeken om hun gegevens in te zien of zelfs te verwijderen.
Mogelijk hoopgevend: you’re not alone. Alle persoonsgegevens verwerkende organisaties die in de EU zijn gevestigd of hier handelen, vallen onder de AVG. De wet (die vaak GDPR wordt genoemd) beschermt de personen van wie de gegevens zijn, denk aan consumenten, medewerkers, patiënten en cliënten, studenten en leerlingen, gebruikers van online diensten en leden van organisaties.
De businessvoordelen van AVG-compliance
Eerder beschreven we de stappen die je moet zetten om je onderneming AVG-proof te maken. Simpel gesteld: maak een AVG-verwerkingsregister, informeer je klanten, breng je cybersecurity op orde en maak privacy top of mind.
Weet je compliant te blijven – waarover later meer – dan heeft dit onder meer de volgende voordelen voor je business:
Hoger cybersecurityniveau
De AVG stelt dat je ‘passende technische en organisatorische maatregelen’ moet nemen om persoonsgegevens te beschermen. Dit betekent dat je moet voldoen aan de ‘basishygiëne’ voor cybersecurity, zoals unieke en sterke wachtwoorden, antivirussoftware en het inrichten van een goede rechten- en autorisatiestructuur. Doorgaans leidt dit tot een hoger cybersecurityniveau. En dus tot minder kans op cyberaanvallen en datalekken.
Reputatieschade en sanctie
Krijg je te maken met een datalek en moet je dit je klanten melden – of ondervinden ze er zelfs direct last van (bijvoorbeeld door identiteitsfraude)? Dan riskeer je zowel reputatieschade als sancties. Ben je AVG-proof, dan is de kans veel groter dat je deze ellende voorkomt.
Vertrouwen winnen
Kun jij aan je klanten laten zien dat hun privacy bij jou in goede handen is? Dan levert dit vertrouwen op onder (potentiële) klanten.
Beter datamanagement
De AVG noopt je tot verantwoording en transparantie rondom persoonsgegevens. Dit kan resulteren in beter datamanagement, denk aan data-inventarisatie, privacy by design en dataminimalisatie. Dit soort praktijken kunnen de basis zijn om je onderneming efficiënter en effectiever te maken.
Meer waarde uit data halen
Als bedrijf moet je goed nadenken: hoe en waarom ga je persoonsgegevens verwerken? Daardoor krijg je een beter begrip van de waarde van deze data voor je onderneming. En kun je persoonsgegevens – of data in het algemeen – efficiënter inzetten en/of slimme nieuwe toepassingen ervoor bedenken.
Voordeel in sterk gereguleerde sectoren
In sectoren als finance, gezondheidszorg en legal zijn privacy en gegevensbeveiliging extra belangrijk, dus levert AVG-compliance een concurrentievoordeel op.
eBook: Gehackt!
Wat moet je doen bij hacks, phishing, ransomware of andere cybercrime? Wees voorbereid met ons eBook.
DownloadTips om compliant te blijven
Zie compliant worden (waarvoor in dit artikel al een hoop tips staan) als een goed begin. Het is namelijk het halve werk. De andere helft is compliant blijven. De volgende 12 tips gaan je daarbij helpen:
- Bedenk altijd goed wat het doel is voordat je (nieuwe) persoonsgegevens gaat verwerken. Verwerken mag alleen als het echt niet anders kan. Een doel kan dus niet zijn ‘omdat ik er in de toekomst misschien wat mee wil gaan doen’.
- Ieder doel moet stroken met 1 van de 6 grondslagen in de AVG. Kun je geen geschikte grondslag vinden? Dan mag je de gegevens niet verwerken.
- ‘Verwerken’ is niet alleen verzamelen en opslaan. Het is een parapluterm voor een breed scala aan handelingen, waaronder: verzamelen, structureren, opslaan, wijzigen, gebruiken, verspreiden, met elkaar in verband brengen en wissen.
- Besef goed dat het bij persoonsgegevens om tal van soorten data gaat. Denk bijvoorbeeld – naast aan NAW-gegevens – ook aan foto’s, beelden van beveiligingscamera’s, e-mailadressen, IP-adressen en bestanden met daarin persoonsgegevens.
- Blijf attent op dataminimalisatie: je mag nooit méér persoonsgegevens verwerken dan strikt noodzakelijk voor je doel. Heb je een nieuwsbrief die niet is gericht op doelgroepen van een bepaalde leeftijd? Dan is het verboden om de geboortedatum te vragen van mensen die zich inschrijven.
- Je bent verplicht om mensen te informeren over het verwerken van hun persoonsgegevens. De meeste ondernemers doen dit via een online privacyverklaring, waarin onder meer staat op basis van welke grondslag(en) ze gegevens verwerken.
- Controleer om de zoveel tijd de actualiteit van je verwerkingsregister, waarin je informatie geeft over de persoonsgegevens die je verwerkt.
- Wanneer je persoonsgegevens verwerkt, heb je een verantwoordingsplicht. Dit betekent onder meer dat je altijd moet kunnen aantonen dat je aan de AVG voldoet, onder meer door je gehele persoonsgegevensverwerking te documenteren.
- Houd bij nieuwe producten en diensten standaard rekening met de privacy-eisen van de AVG (‘privacy by design’).
- Vergeet ook vooral niet dat je datalekken moet vastleggen en ernstige lekken direct moet melden aan de AP. In sommige (ernstige) gevallen moet je zelfs de personen van wie de persoonsgegevens zijn informeren over het lek.
- Sluit een verwerkersovereenkomst als je samen gaat werken met nieuwe partijen die in jouw opdracht persoonsgegevens verwerken (zoals cloudleveranciers).
- Doe ieder jaar een klein online onderzoekje naar wijzigingen op het gebied van privacy- en securitywetgeving en verricht eventueel de nodige aanpassingen. Goede bronnen zijn bijvoorbeeld de Autoriteit Persoonsgegevens en de Rijksoverheid.
