Checklist GDPR: Het complete AVG stappenplan voor ondernemers

Op 25 mei a.s. wordt de nieuwe privacywetgeving van kracht. De AVG (Algemene Verordening Gegevensbescherming) hanteert strengere regels voor het verzamelen, bewaren en gebruiken van mensen die bijvoorbeeld jouw website bezoeken of zaken doen met je bedrijf. Verstuur jij een nieuwsbrief naar je klanten? Dan heb je met de AVG te maken. Heb je een website met daarop een Google Analytics-tag? Ook dan is het noodzakelijk om GDPR-proof te zijn en komt deze checklist goed van pas.

Checklist GDPR

Kortom, bijna elke ondernemer krijgt met GDPR te maken. En de gevolgen als je dat niet doet kunnen groot zijn: het niet voldoen aan de verplichtingen van de AVG kan boetes tot wel 20 miljoen of 4% van je jaaromzet opleveren. Hoog tijd dus om te checken of jouw organisatie AVG-ready is.

Alhoewel volledige compliance complexe materie is, hebben we ons best gedaan een handig stappenplan voor (kleine) ondernemers op te stellen waarmee je nu gelijk aan de slag kunt. Wil je zeker weten dat je niets over het hoofd ziet en volledig aan alle regels voldoet? Schakel dan de hulp van een juridisch adviseur in.

#1 Welke persoonsgegevens verwerk je?

Stap 1 van deze GDPR checklist is het maken van een overzicht van alle persoonsgegevens die jouw bedrijf verwerkt. Als je bijvoorbeeld een webshop hebt, kan dit flink oplopen: je verzamelt immers NAW-gegevens, e-mailadressen en soms ook geboorte data, ordergegevens, etc. Hieronder een lijstje van het type persoonsgegevens die je mogelijk van je klanten of websitebezoekers verzamelt:

• e-mailadres
• mobiel of direct telefoonnummer
• combinatie voor- en achternaam
• combinatie huisnummer en postcode
• IP-adressen
• IMEI-nummer smartphone
• klant-, bestel- en/of ordernummer
• foto- en/of video-opnamen
• bankrekeningnummers
• chatgesprekken
• klikgegevens

Deze lijst is zeker niet volledig, dus denk goed na welke persoonsgegevens je eventueel nog meer verzamelt. Sommige gegevens, zoals iemands etnische afkomst, politieke opvatting of godsdienst maar ook genetische of biometrische gegevens vallen onder de noemer ‘bijzondere persoonsgegevens’ en mogen alleen verzameld worden indien hiervoor een wettelijke grondslag dan wel uitdrukkelijke toestemming van het individu bestaat. Is dit niet het geval, dan mag je deze gegevens niet inzamelen of opslaan.

#2 Hoe beveilig je deze persoonsgegevens?

Als je een overzicht hebt gemaakt van alle persoonsgegevens die je van je klanten of bezoekers verzamelt, is het belangrijk om uit te tekenen waar, hoe en door wie deze persoonsgegevens eigenlijk worden verzameld of bewaard. Gebruik je bijvoorbeeld een dienst als Mailchimp om je nieuwsbrief te versturen? Waar wordt je website gehost? Het is belangrijk om ook van deze serviceproviders een overzicht te maken.

Niet alleen is het de bedoeling dat je met elke van deze providers een zogenaamde ‘verwerkersovereenkomst’ aangaat (stap 3), het is ook belangrijk om na te gaan of deze partijen zelf de privacywet in acht nemen en klaar zijn voor de AVG. Is dit niet het geval, dan ben jij als ondernemer ook aansprakelijk omdat jij er niet alles aan gedaan hebt om de privacy en bescherming van de persoonsgegevens van je klanten veilig te stellen.

Een aantal te nemen maatregelen die bijdragen aan die veiligstelling is essentieel bij het verwerken van persoonsgegevens. Denk daarbij in elk geval aan:

• automatisch versleutelen van persoonsgegevens op servers en bijvoorbeeld USB-sticks
• dat persoonsgegevens vanaf je site versleuteld worden verstuurd via SSL (https)
• gebruik van sterke wachtwoorden
• het invoeren van een twee staps-authenticatie voor inlog in je bedrijfsomgeving
• dat je persoonsgegevens alleen toegankelijk maakt voor een beperkt aantal personen
• het verbieden van gebruik van USB-sticks
• bewaren van laptops en externe gegevensdragers in afgesloten kasten
• persoonsgegevens anoniem maken in analyse-omgeving
• beheren van kopieën en back-ups
• beveiligen van netwerkverbindingen
• encryptie van bestanden met persoonsgegevens
• controle van naleving van het beleid (steekproeven)

Je hostingprovider of webmaster kan je vaak helpen bij het implementeren van een SSL-certificaat op jouw website. Maar vergeet niet de voor de hand liggende ‘kleine’ zaken te communiceren aan je personeel: het opslaan van een database met klantgegevens op een USB-stick is vanaf nu uit den boze!

#3 Sluit een verwerkersovereenkomst af

Heeft jouw bedrijf een website, dan ontkom je er bijna niet aan dat je persoonsgegevens deelt met andere partijen. Voor het versturen van een nieuwsbrief bijvoorbeeld, worden e-mailadressen opgeslagen bij het bedrijf waarmee je de nieuwsbrief verstuurt. En persoonsgegevens van je websitebezoekers wordt opgeslagen in Google Analytics. Maar vergeet ook je salarisadministratiesysteem niet: ook van je medewerkers sla je persoonlijke data op.

Dit mag, zolang de opslag van deze gegevens gerechtvaardigd is. Je moet dus kunnen hard maken dat je deze gegevens verzameld om een product of dienst te leveren, en dat je van de eindgebruiker nadrukkelijke toestemming hebt om deze persoonsgegevens hiervoor te gebruiken. Is dit niet het geval, dan overtreed je de wet.

Met alle partijen waarmee jij persoonsgegevens van klanten deelt moet je een zogenaamde verwerkersovereenkomst afsluiten. Hierin moet onder meer staan dat de persoonsgegevens voldoende beveiligd worden en dat deze verwerker de persoonsgegevens niet voor eigen doeleinden mag gebruiken of mag delen met derden.

Een aantal grote partijen zoals Mailchimp en Google hebben hier standaard verwerkersovereenkomsten voor opgesteld die je direct online af kunt sluiten. Bij kleinere partijen, zoals je eigen hostingprovider zal je zelf aan de bel moeten trekken bij de klantenservice wat hiervoor de procedure is. Download al deze overeenkomsten en sla ze op in een aparte AVG-map op je computer.

Let op: zitten jouw verwerkers buiten de EER (EU + Noorwegen, Liechtenstein en IJsland)? Dan moet je met hen additionele contractuele verplichtingen aangaan (zoals EU Commissie erkende “modelcontracten” of standard contractual clauses) om aan de verplichtingen uit de AVG te voldoen. 

#4 Update of publiceer een privacy statement

Heeft jouw bedrijf of website nog geen privacy statement? Dan is het belangrijk om deze vóór 25 mei online te plaatsen op je website en je bezoekers hier ook op te attenderen. Het is belangrijk dat je privacy statement in ‘gewone-mensentaal’ geschreven is: iedereen moet deze kunnen lezen en begrijpen. Je bestaande privacy statement moet dus ook geüpdatet worden.

Een privacy statement geeft in het kort een overzicht van alle persoonsgegevens die door het bedrijf in kwestie verzameld worden, met welk doeleinde, en hoe deze verwerkt worden. Ook zijn contactgegevens van je bedrijf en een eindverantwoordelijke vermeld, en er wordt uitgelegd dat en hoe gebruikers eventueel bezwaar kunnen aantekenen tegen de verwerking van hun persoonsgegevens.

Online zijn al diverse voorbeelden van online privacy statements te vinden die AVG-proof zijn. Website veiliginternetten.nl heeft een privacyverklaring generator online geplaatst waarmee je zelf je eigen privacy statement kunt opstellen. Diverse juristen bieden ook maatwerk privacy statements aan voor een klein bedrag, zoals deze privacyverklaring voor hobbybloggers van Charlotte’s Law.

#5 Zorg dat je collega’s op de hoogte zijn van de AVG

Eén van de voorwaarden van de AVG is ook dat niet alleen jij als ondernemer, maar ook je (belangrijkste) medewerkers op de hoogte zijn van de nieuwe privacywet en de stappen die hiertoe zijn genomen. Er zijn uiteraard verschillende manieren om dat te realiseren.

Zo kun je voor al je personeel bijvoorbeeld een GDPR-workshop organiseren, waarbij je de belangrijkste maatregelen toelicht en uitlegt. Er zijn ook e-learning modules rondom GDPR waarmee je je personeel een online training kunt laten volgen.

Het belangrijkste is echter om iedereen er op te attenderen alert te zijn op de invoering van de nieuwe wet. Zo kunnen alle collega’s meedenken over de privacygevoelige informatie die binnen het bedrijf aanwezig is en hoe deze vanuit een technisch en legal perspectief zo goed mogelijk beschermd kan worden.

#6 Check of een data protection officer noodzakelijk is

Ben je een grote organisatie die op grote schaal persoonsgegevens verwerkt of hele gevoelige persoonsgegevens verwerkt? Dan is een data protection officer of functionaris gegevensbescherming (FG) mogelijk verplicht. Je kunt hier checken of dit voor jouw organisatie van toepassing is. Is dit het geval, vergeet dan niet om deze persoon aan te melden bij de Autoriteit Persoonsgegevens.

#7 Check of je een verwerkingenregister moet aanleggen

In veel gevallen is het als bedrijf noodzakelijk om een zogenaamd ‘verwerkingenregister’ bij te houden. In dit register moet staan welke persoonsgegevens je verwerkt, met welke doelstelling, wat de bron is, welke partijen betrokken zijn, wat de bewaartermijn is en eventueel welke gegevens buiten de EU terechtkomen. Ook moet je in dit register aantonen dat je de persoonsgegevens rechtmatig verwerkt, bijvoorbeeld omdat je de persoonsgegevens nodig hebt om een (verkoop)overeenkomst uit te voeren.

[Schrijf je in voor het webinar social media]

#8 Attendeer je klanten

Behalve een privacy statement op je website is het ook belangrijk dat je je klanten goed en simpel informeert over de persoonsgegevens die je van ze verzamelt en waarom. Hiervoor is het in sommige gevallen noodzakelijk dat je de standaardformulieren op je website aanpast. Heb je bijvoorbeeld een inschrijfformulier voor je website online staan? Zorg dat bij de opt-in voor deze nieuwsbrief precies vermeld staat waarvoor je het e-mailadres gaat gebruiken. Ditzelfde geldt voor formulieren waarin mensen een klantprofiel aanmaken. Ook hier geldt dat ze actief akkoord moeten gaan met de verwerking die jouw bedrijf met die persoonsgegevens voor ogen heeft. 

Let ook op opt-in knoppen in een formulier op je website: Volgens de AVG geldt hier zogenaamde ‘Privacy by Default’. Dit houdt in dat de privacy van bezoekers standaard gewaarborgd moet zijn. Zij moeten dus zelf aanvinken dat ze met je voorwaarden akkoord gaan, je mag dit niet voor ze invullen.

#9 Stel procedures op voor klanten die hun gegevens zelf willen beheren

Een van de belangrijkste speerpunten van de AVG is dat individuen straks zelf het recht hebben om hun persoonlijke gegevens te bewaken en beheren. Dit betekent dat je te maken kunt krijgen met klanten die hun persoonsgegevens willen kunnen downloaden of overdragen aan een andere organisatie. Denk daarom nu vast goed na over dataportabiliteit (overdracht van persoonsgegevens) en de wijze waarop je deze dienst aanbiedt.

Daarnaast kunnen klanten ook aanspraak maken op het recht om vergeten te worden. Stel ook hiervoor procedures op en neem zo nodig technische maatregelen, zodat klanten dit direct zelf via je website kunnen regelen.

#10 Meldplicht datalek

Last but not least geldt dat je niet alleen klaar bent voor de invoering van de AVG op 25 mei a.s., maar ook voor de periode daarna. Er kan immers in de toekomst nog wel eens iets misgaan met de bescherming van je persoonsgegevens. Is dat het geval, dan heb je een meldplicht om dit zogenaamde datalek te melden bij een toezichthouder. Er moet ook een protocol aanwezig zijn dat in werking treedt bij een datalek. In dit protocol staat in elk geval een crisiscommunicatieplan, zodat je je gebruikers snel op de hoogte kunt brengen om de nodige voorzorgsmaatregelen te treffen.

Tot slot

Deze checklist GDPR is bedoeld om kleine ondernemers op weg te helpen met een stappenplan AVG. Het is niet bedoeld om juridische beslissingen op te baseren. Raadpleeg altijd een juridisch expert als je niet zeker weet hoe je jouw organisatie GDPR-proof maakt.