Op 25 mei 2018 gaat in heel Europa de nieuwe privacywet in: de ‘Algemene verordening gegevensbescherming’ (AVG) ofwel ‘General Data Protection Regulation’ (GDPR). Onder deze nieuwe wetgeving hebben organisaties die persoonsgegevens verwerken (nog) meer verplichtingen. Ben jij er klaar voor?

Onderschat het niet

Het lijkt nog zo ver weg; 25 mei 2018. En misschien vraag je je af wat die AVG eigenlijk met jou van doen heeft. Gaat het niet vooral over ICT? En dat is toch allemaal goed geregeld? Maar de zaak ligt iets ingewikkelder. De nieuwe wetgeving gaat niet over ICT; het gaat om werkwijzen en om zorgvuldigheid. Al bij het versturen van een offerte, factuur of een nieuwsbrief is de wet op jou van toepassing. Elk bedrijf krijgt met de AVG te maken, alleen sta je er niet altijd bij stil op welke manier.

Gegevens veilig in de kluis. Of toch niet allemaal?

Een paar weken terug was ik bij een klant, een autobedrijf. We hadden een goed gesprek over de AVG. De eigenaar vertelde dat hij alles goed geregeld had. Hij bewaarde bijvoorbeeld de kopietjes van de ID-bewijzen van zijn personeel in de kluis, de sleutel van die kluis zat in de zak van de boekhouder; alles was voor elkaar. Een personeelslid liep binnen; er was een auto verkocht en ‘de baas’ moest even een verkooporder tekenen. De order werd getekend, een kopie van het rijbewijs van de koper eraan vast geniet. De getekende verkooporder werd netjes opgeborgen in het daartoe bestemde bakje. Op het bureau van de eigenaar. Toegankelijk voor iedereen.

Strijdigheden in de wetgeving

En dat is maar één voorbeeld. Elke willekeurige aannemer die ZZP’ers inhuurt, heeft te maken met privacygevoelige gegevens. De ZZP’er moet een BTW-nummer op zijn factuur vermelden; dat nummer is gelijk aan zijn BSN-nummer. Privacygevoelig dus. Hier zie je ook de strijdigheid vanuit de wetgeving. De belastingdienst verplicht het één, de privacywetgeving wil iets anders. Een hoteleigenaar vraagt zijn gast met alle goede bedoelingen om een kopie van het paspoort of ID-bewijs. Glad ijs. Een contactformulier op je website biedt je een mooie gelegenheid informatie te verzamelen over (potentiële) klanten. Maar realiseer je dat de informatie die je een bezoeker vraagt in te vullen in relatie moet staan tot de dienst die je hem biedt of het product dat hij krijgt. Vraag je een telefoonnummer, dan moet je dus wel kunnen verklaren waarom dat noodzakelijk is.

De ICT-oplossing voorbij

Voordat je gaat denken in ICT-oplossingen, moet je dus eerst breder kijken. Hoe is het beleid en in welke oplossingen denkt het management? Wat doe je met de gegevens van je klanten, je personeel en andere relaties? En zijn al die gegevens wel nodig? Wil je wel kopieën van ID-bewijzen hebben, of kun je het ook anders oplossen? Er kan tenslotte ook bij jou ingebroken worden.

En die inbraak kan fysiek zijn, in je archief, in je kluis, of in het kantoor waar dat bakje met verkooporders staat. Maar die inbraak kan ook in je ICT-omgeving zijn. Want werkt je firewall wel zo goed als je denkt, is je antivirussoftware helemaal up-to-date en zijn je softwarepakketten in orde? Voor je het weet hebben kwaadwillenden toegang tot je bestanden.

Het is 25 mei voor je het weet

Op de site van de Autoriteit Persoonsgegevens staat een duidelijk overzicht van de tien stappen die nodig zijn om klaar te zijn voor mei 2018. Dat is handig. Maar ik kan me voorstellen dat het ook prettig is eens samen te zitten met een bedrijf dat verstand van zaken heeft, breder kijkt dan ICT en de zaken goed voor je kan regelen. Dat geeft rust, waardoor jij je nog meer kunt focussen op je dagelijkse werkzaamheden.

Meer weten?

Wil je eens praten over jouw situatie? Neem gerust contact met me via 0113-218 428 of j.depundert@jepe-it.nl.