Steeds meer klanten – ook de jouwe – kijken kritisch naar hoe bedrijven met hun persoonsgegevens omgaan. Wat moet je als MKB’er of ZZP’er doen om je bedrijf AVG-proof te maken? Met deze 4 tips helpen we je op weg.
Als ondernemer draag je verantwoordelijkheid voor het beschermen van de persoonsgegevens van je klanten. Zeker sinds de invoering van privacywet AVG in 2018. Ondertussen zijn we gewend geraakt aan privacyovereenkomsten, cookiewalls en steeds beter beveiligde bedrijfsnetwerken.
Helaas blijven die netwerken kwetsbaar, zeker in een tijd waarin werknemers vaker thuiswerken en het aantal (IoT-)devices in bedrijven groeit. In 2021 werden bijna 25.000 datalekken gemeld bij de Autoriteit Persoonsgegevens. Een verdubbeling vergeleken met het jaar ervoor. Voor ondernemers kan zo’n lek grote gevolgen hebben. Vooral als je niet voldoet aan de regels van de AVG. Het risico is dan dat klanten je bedrijf aansprakelijk stellen voor schade die eruit voortvloeit. Daarnaast is de kans dat ze klant blíjven na zo’n lek een stuk kleiner.
Compliant zijn aan de AVG lijkt misschien een hele klus. Daarom heb je het misschien – nog steeds – niet goed geregeld. Met deze vier stappen leg je een stevige basis voor een AVG-proof onderneming.
Checklist Security: de basics voor MKB
Voorkom dat je bedrijf slachtoffer wordt van deze 15 meest gebruikte trucs door cybercriminelen.
Download1. Maak een AVG-verwerkingsregister
Persoonsgegevens zijn alle data die informatie bevatten over een persoon. Denk daarbij aan namen, telefoonnummers, (zakelijke) mailadressen of IP-adressen. Het gaat daarbij niet alleen om geschreven data, maar ook om persoonsgegevens die bijvoorbeeld in een online meeting worden genoemd. Het verwerken van persoonsgegevens houdt alles in wat je kunt doen met die gegevens: van verzamelen en opvragen tot het delen met derden en het wissen ervan.
Om alles goed in kaart te krijgen, maak je een verwerkingsregister. In sommige gevallen is dat zelfs verplicht. In zo’n register staat welke persoonsgegevens je per stap van je bedrijfsvoering verzamelt en hoe je die gegevens verwerkt en hoe lang je ze bewaart. Dat kan in een zelfgemaakte Excelsheet, maar er zijn ook voorbeelden die je hiervoor kunt gebruiken. Of je schakelt een gespecialiseerde dienstverlener in die je stap voor stap begeleidt in dit proces.
2. Informeer je klanten
Je bent als ondernemer verplicht om je klanten te informeren over hoe je met hun data omgaat. Zij moeten hier toestemming voor geven. Dit zijn de twee meest gebruikte manieren:
- een privacyverklaring. Dat is een document waarin je klanten laat weten hoe hun gegevens verwerkt worden. Denk daarbij aan de contactgegevens van je onderneming, doeleinden en juridische grondslag van de verwerking en de bewaartermijn. Vergeet ook niet om je verklaring up-to-date te houden.
- een cookieverklaring. Daarmee leg je bezoekers van je site uit welke cookies je verzamelt, waarom en hoe je ze verwerkt.
Deel je persoonsgegevens van klanten met derden, die ze op hun beurt weer verwerken? Stel dan een verwerkersovereenkomst op. Een standaardversie van zo’n overeenkomst is hier te vinden.
3. Check of je bedrijf veilig genoeg omgaat met persoonsgegevens
Gebruik het verwerkingsregister uit stap 1 om van alle verzamelde persoonsgegevens te bepalen hoe je ze hebt beveiligd. En check of die beveiliging voldoet aan de wet. Die schrijft namelijk voor dat je ‘passende technische en organisatorische maatregelen’ moet nemen om verzamelde persoonsgegevens te beveiligen. Daarover moet je op verzoek verantwoording kunnen afleggen aan bijvoorbeeld de Autoriteit Persoonsgegevens.
Beveiliging gaat onder meer over procedures om veiligheidsmaatregelen te testen, het goed regelen van de toegang van medewerkers tot persoonlijke data en afdoende beveiliging van de gegevens. Denk daarbij aan een firewall en verplichte VPN-verbindingen buitenshuis (digitaal) en goede sloten (fysiek). Ook een protocol over hoe je handelt bij een datalek maakt deel uit van je beveiligingsmaatregelen.
De complete ransomware gids
Hoe werkt een ransomware aanval? En waarom wil je ze liever voorkomen dan meemaken? Lees de tips in onze Ransomware gids.
Download4. Maak privacy top of mind in je onderneming
Daarvoor zijn er twee belangrijke uitgangspunten: ‘privacy by design’ en ‘privacy by default’. De eerste garandeert dat privacy en een veilige verwerking van persoonsgegevens het uitgangspunt zijn bij elk nieuw informatiesysteem en bedrijfsproces. ‘Privacy by default’ betekent: alle standaardinstellingen van programma’s, sites, diensten of apparaten hebben het hoogst mogelijke niveau van ‘privacyvriendelijkheid’.
Ook belangrijk: medewerkers die op de hoogte zijn van alle juridische, technische en organisatorische maatregelen rond persoonsgegevens, bijvoorbeeld door middel van voorlichting en trainingen.
Alle stappen succesvol doorlopen? Laat dan vooral zien dat je onderneming AVG-proof is! Bijvoorbeeld door het voeren van een AVG-certificaat. Ben je er nog niet helemaal zeker van en wil je meer weten? Probeer dan eens deze checklist uit om te kijken of jouw onderneming aan de AVG voldoet.