In Nederland is op 25 mei 2018 de AVG (algemene verordening gegevensbescherming) ingegaan. Het is belangrijk om hieraan te voldoen. Doe je dat niet dan kun je flinke boetes krijgen. In Europa heet het trouwens de General Data Protection Regulation (GDPR). Het is hetzelfde als de AVG. Graag nemen we een aantal zaken met je door in verband met de GDPR checklist voor ondernemers. Het is belangrijk en goed om het als ondernemer serieus te nemen. De boetes zijn niet mals en kunnen maximaal 20 miljoen zijn of 4 procent van je jaaromzet. Serieuze business dus.
Een paar stappen checken voor de GDPR. Stap 1: welke gegevens verwerk je?
De eerste stap van de GDPR checklist is simpelweg het vaststellen welke gegevens je bedrijf verzamelt. Heb je een webshop? Dan gaat het om veel zaken. Het gaat vaak om ordergegevens, mogelijk geboorte data, NAW gegevens en de e-mail. Je weet vaak best veel van je klanten. Een voorbeeld van zaken welke je mogelijk hebt zijn:
- Het e-mailadres
- Het mobiel of direct telefoonnummer
- De combinatie voor- en achternaam
- De combinatie huisnummer en postcode
- De IP-adressen
- Het IMEI-nummer van de smartphone
- De klant-, bestel- en/of ordernummer
- De foto- en/of video-opnamen
- De bankrekeningnummers
- De chatgesprekken
- De klic gegevens
Het gaat om redelijk wat gegevens. De lijst hoeft trouwens niet compleet te zijn. Het kan best zijn, dat je nog andere gegevens verzameld.
Stap 2 van de checklist GDPR: hoe beveilig je alles?
De volgende stap is belangrijk. Het gaat erom, om te bepalen hoe je alles gaat verzamelen, bewaren en beveiligen. Het is essentieel om te weten, waar je nieuwsbrief verstuurd wordt en ook waar je website gehost wordt. Maak een overzicht van alle serviceproviders waar je gebruik van maakt. Maak een verwerkersovereenkomst met ze. Het is belangrijk om te weten hoe hun de privacywet naleven. Doen ze dit niet, dan ben jij als ondernemer hier ook aansprakelijk voor. Laten we je hier zo meer over vertellen. Eerst nog enkele beveiligingsmaatregelen welke je moet treffen. Het gaat hier om:
- Het versleutelen van data op je servers en ook op USB sticks
- Sterke wachtwoorden gebruiken
- SSL verbindingen gebruiken op je website
- Hoe je back-ups en kopieën beheerd.
- Het beveiligen van je netwerk
- Hoe laptops en externe gegevensdragers gebruikt worden.
De derde stap: de verwerkersovereenkomst GDPR
Wanneer iemand anders je site host dan ontkom je er eigenlijk niet aan, dat je gegevens met derden gedeeld worden. Nou niet gedeeld, maar ze hebben er ook toegang toe. Bijvoorbeeld de lijst met emailadressen welke elders verstuurt worden. Het is belangrijk, dat ze hier een verwerkersovereenkomst hebben. Grote partijen hebben hier een standaard verwerkersovereenkomst voor. Kleinere partijen doen dit vaak wat anders. Het is goed om de overeenkomsten op te slaan en apart te bewaren.
Stap vier: update en publicatie
Het is belangrijk om je AVG of GDPR verklaringen op tijd te updaten en ook om ze te publiceren. Je wilt natuurlijk delen, dat je aan de AVG voldoet. Of niet?
