Sinds mei 2018 is de algemene verordening gegevensbescherming (AVG) van toepassing. Na de inwerkingtreding van de verordening moeten bedrijven de persoonsgegevens van hun consumenten en medewerkers op een beveiligde manier verwerken. Maar wat betekent dit eigenlijk?
De verwerking van algemene gegevens
Als een bedrijf persoonsgegevens van haar consumenten of medewerkers verwerkt, dan dient zij zich te houden aan een aantal regels. Dit houdt onder andere in dat er een wettelijke grondslag moet zijn voor de verwerking van de gegevens. Dit betekent dat bedrijven alleen gegevens mogen verwerken die noodzakelijk zijn om de gevraagde dienst te voltooien.
Naast de regels omtrent de verwerking van persoonsgegevens, moeten bedrijven ook goed nadenken welke medewerkers de persoonsgegevens mogen inzien. Zo moet toegang tot een onlinesysteem verlopen via een meerfactorauthenticatie.
Om te kijken of de persoonsgegevens op een zorgvuldige manier verwerkt worden, kunnen bedrijven gegevensbeschermingseffectbeoordelingen (PIA’S) uitvoeren. Hiermee krijgen bedrijven inzicht in de dataverwerking, wat de risico’s van de verwerking zijn en hoe zij de verwerking eventueel kunnen aanpassen.
De verwerking van bijzondere gegevens
Naast algemene persoonsgegevens kunnen bedrijven ook bijzondere persoonsgegevens verwerken. Hierbij dient gedacht te worden aan gegevens zoals gezondheid, ras en politieke voorkeur van medewerkers. Deze gegevens mogen uitsluitend verwerkt worden als daar een wettelijke grondslag voor is. Zo mogen bedrijven onder andere bij zieke medewerkers niet de namen van de ziektes, specificaties van de ziektes of pijnaanduidingen noteren. Wel bestaan hier uitzonderingen op. Bedrijven mogen bijzondere persoonsgegevens onder meer verwerken als aan het bedrijf toestemming is gegeven voor de verwerking, de gegevens noodzakelijk zijn om specifieke rechten uit te voeren of wanneer een medewerker een aandoening of ziekte heeft die acuut handelen kan vragen.
Boetes
In de afgelopen drie jaren heeft de Autoriteit Persoonsgegevens (AP) verschillende boetes uitgedeeld aan bedrijven. Zo heeft de AP in 2021 een bedrijf een boete van € 15.000 opgelegd, omdat de werkgever de redenen van ziekteverzuim van haar medewerkers bijhield. Hierbij verwerkte zij bijzondere persoonsgegevens die niet noodzakelijk waren om specifieke rechten uit te voeren. Het goed op orde hebben van de verwerking van de persoonsgegevens in uw bedrijf is daarom een must.
Tips & tricks
Hoe voorkom je een AVG-boete? De eerste stap hierbij is in kaart brengen hoe uw bedrijf persoonsgegevens van zowel consumenten als medewerkers verwerkt. Daarnaast kunt u onderstaande stappen volgen om de gegevensverwerking op orde te krijgen.
Stap 1: Maak een privacyreglement
Als ondernemer heeft u een informatieplicht aan consumenten en medewerkers. Dit betekent dat u moet aangeven welke persoonsgegevens u verwerkt, hoe lang u deze gegevens verwerkt en voor welke doeleinden u deze gegevens verwerkt. Met een privacyverklaring op uw website en het toevoegen van de privacyverklaring bij het ondertekenen van arbeidsovereenkomsten kunt u voldoen aan uw informatieplicht.
Stap 2: maak een datalekregister
Datalekken moeten binnen 72 uur gemeld worden aan de AP. Het is van belang om een overzichtelijk schema te maken waarin u kunt noteren wat voor datalek het is, wat voor invloed dit heeft op de gegevens van uw consument en of medewerkers, op welke afdeling de datalek heeft plaatsgevonden en welke maatregelen u neemt om de datalek te verhelpen. Ook dient u hierbij uw medewerkers goed te instrueren wat een datalek is en waar zij het kunnen melden.
Stap 3: maak een verwerkingsregister
Hierin kunt u overzichtelijk bijhouden welke persoonsgegevens u verwerkt en op welke manier. Zo kunt u hier onder meer in verwerken hoe lang u de gegevens bewaart en hoe u deze gegevens beveiligt.
Stap 4: gebruik toegangscodes
Zoals eerder vermeld, moet toegang tot een onlinesysteem verlopen via een meerfactorauthenticatie. Maar dat is niet het enige. Zo moeten computers die gebruikt worden door medewerkers beveiligd zijn met wachtwoorden en dient toegang tot klantgegevens beveiligd te zijn.
Stap 5: Voorkom datadiefstal
Door de mobiele werkplek te voorzien van versleuteling blijft de bedrijfsdata veilig bij diefstal van uw laptop.
Stap 7. Beheer uw ICT-Vloot
Bedrijfsdata mag alleen benaderd worden door bedrijfseigendommen. Zorg er daarom voor dat deze apparatuur adequaat ‘up-to-date’ blijven. Met een Bring Your Own Device (BYOD) beleid kunt u afspraken maken uw medewerkers.
Stap 8: geef voorlichting
De belangrijkste stap is dat u en uw medewerkers privacy bewust zijn. Instrueer daarom uw medewerkers zo goed mogelijk over de AVG en de gevolgen van het niet naleven. Dit kan gedaan worden door jaarlijks een cursus te geven over de verwerking van persoonsgegevens en steekproeven uit te voeren op de verwerking van persoonsgegevens.
Heeft u vragen over de verwerking van persoonsgegevens, of heeft u hulp nodig om uw bedrijf nog meer AVG proof te maken? Neem dan gerust contact met ons op.
