1 jaar GDPR in Europa. Wat is de balans?

Ondertussen is het een jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) overal in de EU is ingegaan. Deze set regels, die ook vaak wordt aangeduid met zijn Engelse afkorting GDPR, legt vast hoe bedrijven om moeten gaan met persoonsgegevens. Ieder bedrijf heeft hiermee te maken. Denk bijvoorbeeld aan de gegevens in het personeelsbestand of de informatie van klanten. Het doel van de AVG is een betere privacybescherming van de burgers. Voor bedrijven is het gemakkelijk dat nu dezelfde regels gelden binnen de hele EU.

Wat zijn persoonsgegevens volgens de AVG?

Sinds 25 mei 2018 zijn alle ondernemingen verplicht om zich te houden aan deze nieuwe privacyregels. Maar wat zijn persoonsgegevens?

De AVG is hier duidelijk over: persoonsgegevens zijn alle informatie die te herleiden zijn naar een natuurlijk persoon. Voor de hand liggende persoonsgegevens zijn namen, adressen en betaalgegevens van klanten. Je denkt hiermee misschien dat persoonsgegevens voornamelijk te vinden zullen zijn op de administratie van het bedrijf. Dat is natuurlijk waar, maar ook buiten de administratie zijn veel persoonsgegevens te vinden.

Verstuur je wel eens een promotie, zoals een nieuwsbrief met nieuwe producten? De lijst met adressen die je hiervoor gebruikt bevat hoogstwaarschijnlijk persoonsgegevens. Veel mensen gebruiken namelijk een e-mailadres in de vorm van voornaam.achternaam@ gmail.com en aan de hand hiervan is ook een natuurlijk persoon te herleiden. Als je
eens kritisch kijkt naar je eigen werk, kom je waarschijnlijk tot de conclusie dat je –wellicht onbewust– regelmatig persoonsgegevens verwerkt. Het is daarom een goed idee om binnen je bedrijf te inventariseren welke persoonsgegevens er verwerkt worden.

In bepaalde gevallen ben je zelfs verplicht om een functionaris gegevensbescherming te benoemen. Dit is een medewerker die als taak heeft toe te zien op een juiste toepassing van de AVG. Dit is voornamelijk het geval als je persoonsgegevens op grote schaal verwerkt of als je gevoelige informatie verwerkt, zoals persoonlijke gegevens over gezondheid, geloofsovertuiging, ras of politieke opvatting.

Zorgvuldigheid als basis

Wanneer je werkt met persoonsgegevens, dan moet je met een aantal zaken rekening houden. Het belangrijkste is dat je zorgvuldig met de gegevens omgaat. Je moet ervoor zorgen dat de gegevens alleen beschikbaar zijn voor de mensen die er beroepsmatig mee aan de slag moeten.

Voor gegevens op papier geldt dat je deze op een veilige plek moet bewaren en dat je ze weer opbergt wanneer je er klaar mee bent. Zijn de gegevens digitaal, dan is het belangrijk dat je ervoor zorgt dat de toegangsrechten
goed zijn ingesteld en dat alleen de juiste medewerkers toegang hebben tot de gegevens. Ook moet de beveiliging in orde zijn: dit om hackers geen kansen te geven om de gegevens te stelen.

Maar de AVG gaat verder dan de verplichting om zorgvuldig om te gaan met de gegevens. Zo heeft iedereen het recht op inzage in zijn eigen gegevens. Wanneer een klant bijvoorbeeld vraagt om een overzicht van al zijn gegevens, dan ben je verplicht om die aan te leveren. Iedereen heeft daarnaast het recht om zijn of haar gegevens te laten corrigeren of verwijderen. Dit moet voor de betrokkene net zo gemakkelijk gaan als het aanleveren van de gegevens in de eerste instantie. Mocht het onverwachts toch mis gaan en lekken er persoonsgegevens uit, dan ben je verplicht om dit datalek te melden. Houd je je niet aan de regels, dan kan er een boete worden opgelegd tot wel 4 % van de jaaromzet of 20 miljoen euro.

Handig: de papiervernietiger

Moderne bedrijven hebben natuurlijk de meeste persoonsgegevens opgeslagen in een geautomatiseerd systeem. Toch is er regelmatig informatie op papier. Denk alleen maar aan een e-mail die even wordt geprint: naast de naam en het e-mailadres staan hier wellicht ook een telefoonnummer, huisadres of rekeningnummer in vermeld. Dit is op zich geen probleem, als je de mail maar zorgvuldig opbergt of vernietigt wanneer je deze niet meer nodig hebt.

Een simpele maatregel is het aankopen van een papiervernietiger. Zet deze op een opvallende plek neer, liefst naast de oud-papierbak. Zorg ervoor dat je medewerkers zich ervan bewust zijn wanneer ze papieren weggooien waar persoonsgegevens op staan. Het is beter dat er een paar pagina’s extra door de versnipperaar gaan, dan dat er persoonsgegevens terecht komen in de normale papierbak waar ze voor iedereen te zien zijn.

Harde schijf met versleuteling

De meeste bedrijven hebben het computernetwerk wel in orde: een firewall beschermt tegen aanvallen van buitenaf en de mappen zijn alleen in te zien voor medewerkers met een geldig account. Toch komt het in de praktijk regelmatig voor dat bestanden even snel op een draagbare schijf of usb-stick worden geplaatst. Dat is natuurlijk erg handig, maar wees jezelf altijd bewust van het soort bestanden dat je op de schijf zet. Komen er persoonsgegevens in voor, dan gelden hiervoor ook alle regels van de AVG. Zorg dus dat deze schijven en sticks niet onbeheerd rondslingeren. Wil je de
risico’s uitsluiten, vraag je medewerkers dan om alle sticks te versleutelen. Hierdoor zijn de bestanden alleen te benaderen met het juiste wachtwoord. Het versleutelen van informatie is niet moeilijk: er zijn verschillende handige programma’s die dit op de achtergrond voor je doen. Je kunt deze gebruiken in combinatie met standaard usb-schijven en sticks. Nog
gemakkelijker zijn de schijven met ingebouwde versleuteling. Deze schijven hebben een paneeltje met toetsen ingebouwd. Wanneer je de schijf aansluit moet je altijd eerst de pincode invoeren voordat je toegang krijgt. Ben je niet goed in het onthouden van pincodes? Ook daarvoor is een oplossing:
een stick of schijf die je ontgrendelt met je vingerafdruk.

Maak je archief AVG-proof

Werk je in jouw organisatie nog veel met informatie op papier? Dan is het belangrijk dat je dat archief goed op orde hebt en dat er natuurlijk alleen bevoegde mensen in kunnen. Zorg dat je de papieren op een duidelijke manier ordent in mappen of archiefdozen. Als je dan een verzoek ontvangt
van iemand die zijn gegevens wil inzien, dan heb je de juiste informatie snel gevonden. Berg al deze zaken op in een kast of kluis met een degelijk slot en zorg ervoor dat alleen de bevoegde medewerkers toegang hebben.

Juiste persoonsgegevens met eID

Wanneer je een nieuwe klant verwelkomt, is het natuurlijk belangrijk dat de juiste gegevens in een keer worden vastgelegd. Je kunt natuurlijk een ‘ouderwets’ formuliertje laten invullen, maar het is gemakkelijker om de eID hiervoor te gebruiken. Met een usb-kaartlezer lees je direct alle gegevens uit de identiteitskaart van de klant. Dit gaat niet alleen veel sneller dan het invullen van een formulier, je weet bovendien zeker dat de naam en het adres correct en zonder typefouten in het systeem staan.

Geef een reactie