Twee mensen kijken naar veiligheid van site

De AVG en het mkb: 6 tips om je bedrijf AVG-klaar te maken

Laatst bijgewerkt: 1 juli 2019
Leestijd: 8 minuten, 35 seconden

Je zou kunnen beweren dat het midden- en kleinbedrijf (mkb) zwaarder leidt onder de Algemene verordening gegevensbescherming (AVG) dan grotere organisaties. Deze kleine en middelgrote ondernemingen hebben vaak geen specialist met verstand van de juridische en technische aspecten van de AVG in dienst. Het is ook onwaarschijnlijk dat mkb’ers zelf de tijd hebben om te verzekeren dat hun onderneming in overeenstemming met de AVG werkt. Het is zelfs goed mogelijk dat ze het budget niet hebben om een AVG-consultant in te huren.

Intussen is de AVG (of GDPR in het Engels, wat staat voor General Data Protection Regulation) al meer dan drie jaar van kracht. Hierdoor belandden veel mkb-bedrijven plots in zwaar weer. Op 25 mei 2018, precies twee jaar nadat de AVG in werking trad, moest ieder bedrijf al zijn zaken op orde hebben en ‘AVG-compliant’ zijn. Dit geldt niet alleen voor Europese organisaties, maar voor elk bedrijf wereldwijd dat gegevens van EU-burgers verzamelt of verwerkt.

In dit artikel bekijken we enkele aspecten van de AVG waarmee elke organisatie te maken krijgt, of ze nu groot of klein zijn. De AVG doet enkele kleine concessies aan het mkb, waar ondernemingen met minder dan 250 werknemers en een jaaromzet van maximaal 50 miljoen euro onder vallen. Daarom kijken we eerst naar deze concessies en geven we daarna enkele tips om je bedrijf correct en volgens de AVG te laten werken.


De ‘grote boze’ AVG

Computer met AVG tekstIn het woud van AVG-regels voelen veel bedrijven zich als Roodkapje: bang voor de Grote Boze Wolf. Maar is de AVG werkelijk zo angstaanjagend? Het is wellicht te gemakkelijk om de AVG te zien als een bureaucratische boosdoener die alleen uit is op het innen van boetes. In de eerste plaats is de AVG natuurlijk vooral in het leven geroepen om de privacy van de mens beter te beschermen in een digitale wereld.

Persoonlijke gegevens zijn de drijvende kracht achter online transacties, en online diensten lopen over van alle gevoelige informatie die ze verzamelen. Als reactie hierop besloot de EU de Data Protection Directive (DPD) uit 1995 te updaten. De nieuwe versie werd uiteindelijk de GDPR, of AVG in het Nederlands.

Het idee achter de AVG is het beschermen van de persoonlijke gegevens en privacy van alle EU-inwoners. Deze bescherming reikt zó ver dat gebruikers zeggenschap hebben over hoe en waarvoor hun gegevens worden gebruikt. EU-burgers hebben in totaal acht rechten met betrekking tot dataverzameling die zij kunnen gebruiken om verzamelde gegevens in te zien, aan te passen, te wissen, enzovoort. Bovendien moeten burgers ook altijd toestemming geven voordat hun gegevens in de eerste plaats verzameld mogen worden.


Hoe raakt de AVG het mkb?

De AVG is van toepassing op alle organisaties in de EU, ongeacht organisatievorm of -omvang. Ook geldt de AVG niet alleen voor organisaties binnen de EU, maar voor alle organisaties wereldwijd die gegevens van EU-burgers verwerken. Er is echter wel een uitzondering voor het mkb. In de wet (artikel 13) kun je het volgende lezen:

“Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft.”

Hier wordt wel een kanttekening bijgeplaatst:

“… tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens.”

Met andere woorden, jouw organisatie moet alsnog in alle opzichten voldoen aan de AVG als je ook maar één werknemer hebt en je persoonlijke gegevens verwerkt die:

  • met enige regelmaat worden verwerkt;
  • een mogelijk risico vormen voor de persoon in kwestie; of
  • in een ‘bijzondere categorie’ vallen. (Een volledig overzicht van bijzondere categorieën van persoonsgegevens vind je in artikel 9 en artikel 10 van de AVG.)

In de praktijk komt het erop neer dat haast elke organisatie zich aan de AVG moet houden. De AVG draait immers niet alleen om klantgegevens, maar om de gegevens van elke EU-ingezetene waar je als organisatie mee te maken krijgt. Hier horen ook prospects, medewerkers, externe adviseurs en zelfs sollicitanten bij. Het overgrote deel van alle organisaties moet daardoor alsnog voldoen aan de documentatieplicht van de AVG. Uiteindelijk maakt het voor de AVG dus weinig meer uit of je minder dan 250 werknemers hebt en deel van het mkb bent. Als je gegevens verzamelt en verwerkt, moet je dit volgens de AVG doen.


6 AVG-tips voor mkb-bedrijven

Voldoen aan de AVG draait vooral om voorbereiding, verwerking en toepassing. Wij geven je zes tips die je in het mkb kunnen helpen AVG-compliant te worden en blijven.


Tip 1: Heb je met de AVG te maken?

Zoek uit of je organisatie zich aan de AVG dient te houden. Kijk ook eens naar ons artikel Aan de slag met de AVG, waar je meer informatie vindt over de AVG en wie er op welke manier mee te maken heeft.

Zakenmannen Handdruk

Als je aan de AVG moet voldoen, kun je overwegen gebruik te maken van externe consultancy. Dit kan bijvoorbeeld met de diensten van een MSSP of een functionaris gegevensbescherming. Het in dienst nemen van een functionaris gegevensbescherming is in sommige gevallen verplicht, bijvoorbeeld wanneer je een overheidsinstantie bent. Hier kun je toetsen of je verplicht bent een functionaris gegevensbescherming aan te stellen.

Zelfs als je wettelijk gezien geen functionaris hoeft aan te nemen, kan het toch verstandig zijn dit te doen. Een functionaris gegevensbescherming heeft diepgaande kennis van de AVG en onderhoudt ook contact met de autoriteiten. Deze kennis en connecties kunnen erg goed van pas komen. Ook zijn verschillende MSSP’s gespecialiseerd in AVG-compliance, waarbij ze daarnaast voor jouw algemene cybersecurity zorgen.


Tip 2: Ken je gegevens

De AVG hanteert verschillende gegevenscategorieën. Gebruik deze categorieën om de gegevens binnen jouw organisatie in kaart te brengen. Maak een overzicht van alle gegevens die hun weg naar je bedrijf vinden en registreer wat daarmee gebeurt – vergeet hierbij social media-berichten en online gesprekken niet. Dit overzicht komt van pas bij het documenteren van je gegevensprocessen en -procedures. Als je een goed overzicht hebt van alle gegevens die je als organisatie in handen hebt, is het veel gemakkelijker om de manier waarop je met die gegevens omgaat aan te passen.

Het minimaliseren van de gegevens binnen je organisatie (dataminimalisatie) gaat met goede documentatie ook veel gemakkelijker. Met het oog op de AVG en privacy is het beter om geen onnodige gegevens te verzamelen. Dit scheelt ook werk en maakt je bedrijf efficiënter, wat zorgt voor kostenbesparing. Als je de hoeveelheid verwerkte gegevens binnen je bedrijf kunt beperken, doe dat dan vooral. Is het bijvoorbeeld écht nodig dat je het geslacht, de leeftijd of de burgerlijke staat van je klanten weet?


Tip 3: Maak een goede privacyverklaring

Lijst met VergrootglasMet je gegevensoverzicht kom je er snel achter waar gegevens je systemen binnenkomen, waar ze naartoe gaan en wat je ermee doet. Zo kun je bepalen wanneer en op welke manier je om toestemming moet vragen. Om in overeenstemming met de AVG te handelen, moet je een rechtmatige reden hebben voor het verwerken van gegevens. Dit betekent dat je duidelijk, ondubbelzinnig en expliciet om toestemming moet vragen om de gegevens van een EU-ingezetene te verzamelen en gebruiken.

Zorg voor goede privacyverklaringen en voorwaarden die laten zien dat je de AVG en privacybescherming serieus neemt. Deze verklaringen moeten duidelijk vermelden wat je met persoonlijke gegevens doet. Je kunt op veel plekken terecht voor advies rondom het opstellen van privacyverklaringen. Zo heeft de Nederlandse overheid een speciale privacyverklaring generator opgezet. Hier voer je je gegevens in, waarna er een basistekst verschijnt die je vrij kunt gebruiken. Deze kun je vervolgens zelf natuurlijk naar wens aanpassen.


Tip 4: Documenteer

De AVG stelt dat er een beperkte documentatieplicht geldt voor bedrijven met minder dan 250 medewerkers. In werkelijkheid zul je in de meeste gevallen toch je gegevensverwerking moeten vastleggen. Het Information Commissioner’s Office (ICO), een overheidsorgaan in het Verenigd Koninkrijk, heeft een lijst opgesteld met zaken die je vast dient te leggen als je persoonlijke gegevens beheert. Dat wil zeggen, als je een organisatie bent die de controle heeft over hoe en waarvoor de gegevens worden gebruikt. Zo moet je onder andere het soort gegevens dat je verzamelt, de reden voor het verzamelen en de beveiligingsmethoden die je hanteert vastleggen.


Tip 5: Bescherm je gegevens

Hardware SecurityHoewel de AVG niet voorschrijft wat voor beveiligingsmaatregelen je moet toepassen om gegevens te beschermen, valt er in artikel 32 te lezen dat:

“… de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen [dienen te nemen] om een op het risico afgestemd beveiligingsniveau te waarborgen.”

Je bent als bedrijf dus verplicht om de gegevens die je verzameld, ook goed te beschermen tegen alle mogelijke risico’s die van toepassing zijn op jouw bedrijf. De wetstekst geeft enige suggesties, zoals het pseudonimiseren en versleutelen van gegevens en het toepassen van goede authenticatiemethoden om de veiligheid van gegevens te waarborgen. Ook voor deze veiligheidsmaatregelen kun je de diensten van een MSSP inschakelen.


Tip 6: Ga zo door!

Werken in overeenstemming met de AVG is geen eenmalige taak. Het is een proces: je bent er continu mee bezig. Omstandigheden kunnen veranderen. Nieuwe technologieën komen op de markt, je wisselt eens van cloudprovider, je implementeert nieuwe applicaties of je besluit aanpassingen te maken aan het soort data dat je verzamelt. Wil je in overeenstemming met de AVG blijven werken? Dan zul je de gegevensstromen in je organisatie elke keer opnieuw in kaart moeten brengen wanneer er relevante wijzigingen zijn gedaan. Dat is niet gemakkelijk, maar als je het niet doet, riskeer je een gegevenslek of boete. Dit kan je organisatie letterlijk duur komen te staan. Boetes kunnen namelijk oplopen tot 4% van je jaaromzet of 20 miljoen euro.


Ook voor het mkb: wees AVG-veilig!

Ook als je een kleinere organisatie bent, moet je je ‘gewoon’ aan de AVG houden. Alsnog hoeft de AVG geen hoofdpijndossier te zijn. Als je er even voor gaat zitten, kun je binnen korte tijd orde op zaken stellen. Maak hier daarom routine van.

Echter betekent in overeenstemming met de AVG werken meer dan ‘slechts’ aan de wet voldoen. De AVG draait in essentie om respectvolle omgang met persoonlijke gegevens. Dit respect richting klanten, medewerkers en andere partijen betaalt zich uit in verbeterde relaties, gebaseerd op het fundamentele recht om je eigen gegevens te kunnen beheren. Het is dus altijd verstandig om de AVG te zien als een recht in plaats van een bedrijfsobstakel.

Hoofdauteur:

Meer artikelen uit het ‘Zakelijk’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen