PromZ Vak 01-2018

z 2018 - nummer 1 - promzvak.nl 49 8 Wie heeft de afgelopen periode geen direct mail of e-mail ontvangen over het grote onheil dat Europa gaat treffen per 25 mei 2018: de ‘Algemene Verordening Gegevensbescherming’, de nieuwe privacy-wetgeving. Wellicht heeft u vaak gedacht ‘dat komt wel een keer’ of , ‘ik leg helemaal geen persoonsgegevens vast van consumenten’. En daarmee zijn al meteen twee denkfouten gemaakt. Als je het maar lang genoeg ontkent, ga je het geloven TEKST: MR ALEXANDER SINGEWALD D at komt wel een keer: sinds 1989 kennen we in Nederland wetgeving op het gebied van de bescher- ming van persoonsgegevens, dus als u nu denkt van dat komt wel een keer, tja, dan loopt u een kleine 30 jaar achter met wetgeving en daarmee achter de feiten aan . Het is een misverstand om te veronderstellen dat de AVG en privacywet- geving alleen van toepassing zou zijn wanneer u persoonsge- gevens van consumenten zou vastleggen. Denk bijvoorbeeld aan gegevens die uw accountmanagers heb- ben vastgelegd over de persoonlijke hobby’s, huwelijkse staat, verjaardagen etc van uw klanten. Dat zijn ook persoonsgegevens die vallen onder de werking van wet- en regelgeving sinds 1989. Maar denkt u ook aan de persoonsgegevens van uw personeels- leden of de persoonsgegevens van free-lancers die u inhuurt, ook dat valt onder deze wetgeving. Kortom u heeft eerder persoons- gegevens in uw bezit dan u wellicht denkt. Maar denkt u ook aan het uitbesteden bij een salarisbureau van de salarisadministratie van uw bedrijf, ook relevant voor de toe- passing van de huidige wetgeving en de AVG met ingang van 25 mei 2018. Spaanse inquisitie? Maar als er al 30 jaar wetgeving is en er is weinig mee gedaan hoe is dan de handhaving geregeld? De Autoriteit Persoonsgegevens is de handhaver van de huidige Wet bescherming persoonsgege- vens en de AGV in de toekomst. De Autoriteit Persoonsgegevens trekt niet als een Spaanse inquisitie door de ‘lage landen’ van deur tot deur. De handhaving wordt gedaan door bepaalde gege- vensverwerkingen aan de kaak te stellen. De Autoriteit Persoonsgegevens zal naast het zoeken van publi- citeit, ook boetes kunnen opleggen, afhankelijk van de aard van de overtreding van 10 miljoen tot 20 miljoen euro boete respec- tievelijk tot 2% of 4% van de wereldwijde omzet indien die hoger is dan de boete. Deze boetes zijn bedoeld om een afschrikkende werking te hebben, en of die veel in de praktijk zullen vallen zul- len we moeten afwachten. Waar de Autoriteit Persoonsgegevens wel gebruik van zal maken is, net als nu, de last onder dwang- som. De Autoriteit Persoonsgegevens geeft een organisatie een ‘last’ om een bepaalde praktijk te stoppen en zo niet dan zal een dwangsom worden geïncasseerd. En die is niet zo dramatisch, maar kan wel oplopen tot 50.000 euro tot 100.000 euro. Maar eigenlijk moet je als bedrijf een boete of last onder dwang- som helemaal niet afwachten. De AVG legt de ‘accountability’ - het voldoen aan de regels - expliciet bij bedrijven zelf. Om u te helpen bij het invoeren van de AVG binnen uw organi- satie (zowel aan de personeelskant als aan de accountmanagers kant met CRM-systemen met gegevens van klanten) kunt u het onderstaand stappenplan gebruiken: 1 Bewustwording Informeer directie en management over de aankomende veran- deringen. Zij zullen moeten inschatten welke gevolgen de AVG heeft voor de organisatie. 2 Inventarisatie Zorg er voor dat je weet welke persoonsgegevens de organisatie heeft, waar de gegevens vandaan komen (rechtstreeks van de betrokkene of op een andere wijze) en met welke partijen de gegevens zijn gedeeld. 3 Register Maak een register van alle soorten verwerkingen zoals die voor klanten, personeel, camerasystemen, debiteuren en crediteuren. Hoewel het verwerkingsregister niet voor alle orga- nisaties verplicht is, kan deze wel ondersteuning bieden voor de verantwoordingsplicht. 4 Verantwoording Dit betekent onderbouwen en documenteren waarom een gege- vensverwerking nodig is, voor welke doeleinden. Dat u een CRM systeem heeft voor verkoop dat zal duidelijk zijn en is eenvoudig te onderbouwen. 5 Communicatie Controleer of de bestaande privacy statements, order formu- lieren (online en offline) voldoen aan de inhoudelijke eisen uit de AVG. Zoals artikel 13: U moet vertellen wie u bent als u persoonsgegevens verwerkt, voor welke doeleinden, wat de grondslag is om te verwerken (bijvoorbeeld een contract of een gerechtvaardigd belang), aan welke derde u gegevens verstrekt.