AVG: Voorkom boetes door alvast te beginnen!

Inleiding op de AVG
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Vanaf die datum zal de Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, de nieuwe privacywet gaan handhaven. Bedrijven en organisaties, groot en klein, moeten aan de AVG voldoen. De nieuwe wet verwacht van bedrijven om actief veel stappen te ondernemen: alles omtrent privacy uitzoeken, regelen en vastleggen. Het is een inspanningswet zoals je wellicht kent van de Arbowet (inclusief BHV-regelgeving).

Wat is het doel van de AVG?
Het doel van de verordening is vooral een nog betere bescherming van persoonsgegevens te verzekeren en het vrije verkeer van persoonsgegevens binnen de Europese Unie te waarborgen. Het recht van de betrokkene wordt in de verordening op hoog niveau beschermd.

Wat moet je doen?
Alles wat je binnen de AVG-wet geregeld moet hebben is onder te verdelen in vier hoofdgebieden. Hieronder staan een paar voorbeelden.
 

• Juridisch: je bent verplicht om zaken juridisch vast te leggen. Van geheimhoudingsverklaringen, een officiële privacy policy tot aan contracten met je drukkerij en IT-partner.
• ICT: zijn software- en virusscanners altijd up-to-date? Zijn er (veilige) back-ups om de persoonsgegevens te beschermen tegen verlies of ransomware? En is jouw cloud-oplossing wel Europees? Dit en meer moet je nagaan en goed regelen!
• Organisatie-procedures: ook intern moet er van alles vastgelegd zijn. Heb je een procedure omtrent de gegevens van (oud-?)cliënten? Ligt er vast wie waar toegang toe heeft? En weet je wat moet doen als er een usb-stick met persoonsgegevens kwijt is?
• Opleiding: eventuele medewerkers moeten geïnformeerd c.q. opgeleid worden omtrent de wetgeving. Wat mogen zij wel en wat niet? Maar bovenal ook: wie wordt hier verantwoordelijk voor en zorgt dat het ook bij nieuwe medewerkers gewaarborgd wordt.

Hoe kun je je praktijk AVG-proof maken?

• De AP heeft een kosteloos tienstappen plan beschikbaar op de website ter voorbereiding op de AVG.
• Op internet zijn allerlei voorbeelden beschikbaar van zaken die je voor de AVG moet hebben.
• Je kunt een jurist of andere deskundige inhuren.
• Je kunt de AVG tool bij ProVoet bestellen. De AVG tool is ontwikkeld voor het midden- en kleinbedrijf door de Stichting AVG. Het is een online tool, waarmee je er via vijftien onderwerpen voor zorgt dat je praktijkvoering AVG-proof is. Aan de hand van duidelijke instructies en uitleg pas je de ICT, de organisatie, de communicatie en alle juridische zaken als contracten aan de nieuwe eisen aan. Met het programma zie je geen onderdelen van de wettelijke verplichting over het hoofd. Kosten voor gebruik van de AVG tool bedragen € 29,50. De AVG tool is beschikbaar via onze webshop. Na aanschaf van de tool in onze webshop, ontvang je binnen vijf werkdagen de code waarmee je in kunt loggen.
  • Als je gebruik maakt van de tool maar het invullen ervan graag met anderen samen doet, kun je je inschrijven voor een van de invulworkshops die de Stichting AVG door heel Nederland organiseert. Onder leiding van experts doorloop je alle stappen van het online programma. Je vindt de locaties en data in de tool.
  • De Stichting AVG heeft de mogelijkheid tot een abonnement, waarmee je inhoudelijk specifieke (juridische) vragen beantwoord kunt krijgen. Je betaalt eenmalig een bedrag en kunt dan maximaal twaalf keer een beroep doen op de dienstverlening via het stellen van een vraag. Gebruikers zijn hier heel tevreden over. Ook informatie over deze dienstverlening maakt onderdeel uit van het online AVG-programma.

Het is al bijna 25 mei, ben ik niet te laat?
Vanaf 25 mei 2018 kan de AP gaan controleren of organisaties voldoen aan de eisen van de nieuwe privacywet AVG. Aan de datum is niet te tornen, die is Europees vastgelegd. Naar verwachting is de kans op boetes kleiner als je kunt aantonen gestart te zijn met de verplichte werkzaamheden. De Tweede Kamer heeft bij de AP aangedrongen op coulance voor degenen die serieus aan de slag zijn, maar nog niet helemaal klaar. Doe wat meteen gedaan kan worden en leg vast welke onderdelen later volgen. Mocht je op 25 mei nog niet alle onderdelen hebben afgerond, dan kun je aantonen een start te hebben gemaakt. Bij een controle zal daarnaar worden gevraagd.

Let op: deze wet kent een inspanningsverplichting. Het is anders dan bij een verbodswet zoals ‘je mag niet door rood rijden’. Dan rijd je niet meer door rood. In de AVG word je verplicht actie te blijven ondernemen als het aankomt op omgaan met persoonsgegevens in je praktijk. Dat betekent dat je je AVG-dossier met bepaalde regelmaat zult moeten actualiseren.