25 mei 2018 was de deadline voor alle ondernemers binnen de Europese Unie om hun Algemene Verordening Gegevensbescherming (AVG) op orde te hebben. Inmiddels is deze deadline alweer een tijd geleden en dus is de rust wedergekeerd voor de bedrijven die hun AVG op orde hebben. Voor deze bedrijven lijkt het een logische gedachte dit onderwerp van de to-do-list af te strepen en er niet meer naar om te kijken. Helaas is de AVG niet een eenmalig “klusje”, het is een deel van je bedrijf dat up-to-date gehouden moet worden. Dit betekent minimaal maandelijks onderhoud aan onder andere je privacyverklaring, je verwerkingsregister, je cookies en je opgeslagen gegevens.
Omdat dit niet het leukste werk is, is een vast moment de juiste aanpak. Zo gebeurt het snel en efficiënt. Zie het als het stofzuigen van je huis: je hebt er geen zin in, maar het moet wel gebeuren. Nu is het stofzuigen van je huis een wekelijkse bezigheid, gelukkig is dat bij het updaten van je “online security” niet het geval. Hier ligt maandelijks bijwerken meer voor de hand.
Let op: onder de definitie van gegevensverwerking vallen een heleboel begrippen. Let daarom goed op als je iets verandert dat ook maar iets te maken heeft met het volgende:
“Het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van persoonsgegevens. Onder persoonsgegevens vallen dan weer: e-mailadressen, pasfoto’s, vingerafdrukken en bijvoorbeeld IP-adressen.”
(Bron: https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens)
Zorg dus dat alles wat hiermee te maken heeft overzichtelijk bewaard wordt zodat je het bij de hand hebt tijdens je maandelijkse update. Vergeet ook niet je privacy voorwaarden aan te passen van als je iets in je website of software wijzigt.
De AVG is een vrij nieuw principe en omdat niet iedereen een held is op het gebied van online beveiliging kan er nog wel eens iets fout gaan. Schroom je daarom ook niet om feedback te vragen aan (nieuwe) klanten over bijvoorbeeld het privacy beleid op je website of vraag binnen je branche om feedback en tips. Uiteindelijk maakt dat iedereen veiliger. Verbeter na de feedback waar nodig en binnen no-time heb je de beste AVG mogelijk.
Wat jij nodig had bij de vorige tip hebben andere organisaties misschien ook wel nodig. Nu jij een AVG-kenner bent, is het een kleine moeite collega-ondernemers of jouw leveranciers een handje te helpen. Je bespaart ze mogelijk een enorme boete dus ze zullen blij zijn met jouw feedback.
Heb je speciaal een functionaris voor de gegevensbescherming (FG) aangenomen, heb je je zelf ingelezen of één van je bestaande medewerkers dit laten doen? Zorg in ieder geval dat de rest van het bedrijf ook op de hoogte is van de AVG zodat iedereen er rekening mee kan houden. Laat bijvoorbeeld degene die de AVG op orde gemaakt heeft een presentatie geven aan de rest van het bedrijf of maak een handleiding die je kunt geven aan nieuwe medewerkers die nog niet op de hoogte zijn.
Data die je niet hebt, hoef je ook niet te beveiligen. Voor veel data geldt echter een bewaarplicht dus ze echt “weggooien” behoort niet tot de opties. Wat je wel kunt doen is de data archiveren: ze worden dan opgeslagen in een archief en kunnen niet meer gemuteerd of verplaatst worden. Zo zijn ze niet meer beschikbaar voor het operationele proces en dus ook niet voor kwaadwillenden. Een andere optie voor persoonsgegevens is het anonimiseren of pseudonimiseren van data. Dit is eigenlijk heel simpel: je koppelt de dossiers los van de personen. Hierdoor verliezen de dossiers hun vertrouwelijkheid. De waarde van de data gaat echter niet verloren omdat je deze data nog kunt gebruiken voor statistische onderzoeken (big data).
Onbewust zijn we allemaal de hele dag data heen en weer aan het slepen. Denk aan het uitdraaien van een e-mail, het downloaden van informatie op je laptop en bijvoorbeeld het gebruik van USB-sticks. In al deze gevallen creëer je een kopie van je originele data. Als jij een mail verstuurt met daarin een vertrouwelijk document, worden er onbewust heel veel kopieën gemaakt: in jouw verzonden items, op de mailserver die het mailtje stuurt, op de mailserver van de provider en ontvanger en uiteindelijk ook nog op het toestel van de ontvanger.
Nu zouden alle alarmbellen al af moeten gaan want deze kopieën moeten uiteraard ook beveiligd worden. Let daarom goed op met het “slepen” van data óf download een document manager systeem (DMS). Zo’n systeem zorgt ervoor dat een document alleen zichtbaar is voor iemand met de link ernaartoe en het wachtwoord van het document. Er zijn dan geen kopieën meer nodig en je hebt gelijk two factor authentication, een win-win situatie dus.
We weten dat het veel werk is om er “even” bij te doen, maar het is het beste om de AVG zo snel mogelijk in je systeem te krijgen en het maandelijks vast te zetten. We gaan er met z’n allen niet meer vanaf komen dus we kunnen er maar beter het beste van maken en stuk voor stuk AVG-experts worden! Iets nieuws leren kan namelijk ook heel leuk zijn.
Met behulp van deze tips is het mogelijk de tijd die je kwijt bent aan de AVG te beperken tot het minimale. Wil je nou meer weten over AVG of hoe je jouw bedrijf/website het beste AVG-Proof kunt maken op het gebied van online marketing? Neem gerust contact met ons op, wij helpen je graag verder.
Meld je aan voor kennis, updates & tips