De gevolgen van de Algemene Verordening Gegevensbescherming (de AVG), die op 25 mei 2018 in werking treedt, verschillen per type bedrijf. Hoe groter, veelzijdiger en digitaler een organisatie is, des te groter kunnen de gevolgen van de AVG zijn. De gevolgen voor bedrijven uit het MKB-segment zijn doorgaans kleiner, maar ook zij moeten stappen zetten om aan de nieuwe wetgeving te voldoen. AWVN heeft op een rijtje gezet waar het MKB aan moet denken, wil zij klaar zijn voor de inwerkingtreding van de AVG.
Voor grotere en/of complexe bedrijven en voor overheden kan de AVG echt een uitdaging betekenen. Het is ingewikkelde wetgeving, die over een maatschappelijk belangrijk onderwerp gaat, de bescherming van gegevens van personen, en dan met name gevoelige gegevens zoals gezondheid, financiën, religie, afkomst e.d. Voor het MKB kunnen de AVG-gevolgen in de meeste gevallen beperkt blijven.
Het is goed te bedenken dat de AVG niet zo veel verschilt van de huidige Wet Bescherming Persoonsgegevens. De belangrijkste verschillen zijn:
– dat burgers (klanten, werknemers) meer rechten krijgen die hen beschermen;
– dat een bedrijf dat persoonsgegevens verwerkt op die uitgebreidere rechten kan worden aangesproken en zich daarvoor moet kunnen verantwoorden;
– dat de toezichthouder (de Autoriteit Persoonsgegevens) een steviger positie krijgt.
Voor de meeste bedrijven in het MKB-segment betekent dit:
– een register (= inventarisatie) maken van de persoonsgegevens die zij verwerken (denk aan werknemers en klanten), met welk doel ze dat doen, hoe lang de gegevens worden bewaard, en wat de maatregelen in de techniek en de organisatie zijn om die gegevens te beschermen;
– met die doelen, bewaartermijnen en beschermingsmaatregelen een beleid opstellen;
– en op basis van dat beleid een privacy-verklaring opstellen.
Met gezond verstand, ondersteuning vanuit de eigen brancheorganisatie (de meeste zijn al volop bezig), de eigen accountant en eventueel de website- en ICT-leverancier, hoeft het niet meer dan enkele uren/dagdelen te kosten om met behulp van standaardinvulformulieren aan deze verplichtingen te voldoen. Voor de relatie met werknemers geldt dat het door u ingeschakelde salarisadministratiebureau al de nodige stappen zal zetten. Let daarbij wel op de omgang met zieke werknemers. Dat was altijd al een belangrijk aandachtspunt en dat is in de AVG niet anders (zie desgewenst de AWVN-ledenwebsite en de website van de Autoriteit Persoonsgegevens).
Als op 25 mei niet alles tot in de puntjes is geregeld, staat de Autoriteit Persoonsgegevens (AP) niet meteen dezelfde week al bij u op de stoep.
Belangrijk is ook te bedenken:
– Dat u als ondernemer ook een te beschermen burger bent;
– Dat de AVG ook een kans is om uw bedrijfsorganisatie te verbeteren;
– Dat de AVG ook is bedoeld om ondernemers te steunen;
– Dat bij grensoverschrijdende dienstverlening in heel Europa straks dezelfde regels gelden;
– Dat u als leverancier een betrouwbare partij voor uw afnemers bent, als u voldoet aan de AVG-eisen, beschermd tegen aansprakelijkheid.
Op de website van de AP is veel informatie te vinden, onder andere het overzicht AVG in een notendop (eind januari 2018 uitgebracht). Hier staat ook veel uitgebreidere informatie, zoals een handleiding (gaat veel dieper op de materie in) en een 10-stappenplan, voor het geval u door de omvang of de aard van uw bedrijf toch een grotere investering moet doen om aan de AVG-eisen te voldoen. Ook daarbij kunnen uw brancheorganisatie en uw accountant-adviseur u van dienst zijn.
