Weet je nog waar je was op 25 mei 2018? Nee? Dat was de dag dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Het was een gewone werkdag en de lucht viel niet naar beneden, zoals velen hadden voorspeld. Het werk ging inderdaad gewoon door en alle bedrijven belandden in het post-GDPR-tijdperk. Sommigen waren voorbereid, anderen niet, en velen waren, en zijn nog steeds, enorm onwetend van wat de AVG is of hoe te voldoen.

Als u prospects of klanten heeft in de Europese Unie (EU), moet u vertrouwd raken met de AVG.

Bedenk of je het risico wilt lopen dat de AVG niet wordt nageleefd en/of ontwikkel een plan voor aanpassing. Overweeg het volgende om u te helpen bij het bepalen van uw toekomstige aanpak:

1. De AVG is van toepassing op alle organisaties (zelfs als u een eenmanszaak bent), groot, middelgroot en klein, ongeacht de sector of branche. Als u zaken of marketing heeft in de EU, bent u wettelijk verplicht om hieraan te voldoen.
2. Als u geen klanten in de EU heeft, maar u verwerkt informatie voor een bedrijf dat dat wel heeft, dan is de AVG nog steeds op u van toepassing.
3. De verordening is niet bedoeld om bedrijven te kwellen. In feite zou de wet burgers en inwoners meer controle moeten geven over hun persoonlijke gegevens en de regelgeving voor internationale bedrijven moeten vereenvoudigen met één enkele norm in de hele EU. Op dit moment voelt het gewoon overweldigend voor velen van ons die in het verleden niet zijn gevraagd om op deze specifieke manier te werken.

Stappen om compliant te worden

GDPR-compatibel worden hoeft geen ontmoedigende taak te zijn. Maar als u een klein bedrijf bent, kan het veel tijd in beslag nemen. Mijn advies is om een ​​plan te maken om compliant te worden, en daar in de loop van de tijd aan te werken. Dit is wat u moet opnemen:

1. Welke gegevens verzamelt u?

U moet begrijpen dat persoonlijke gegevens onder de AVG naam, adres, e-mailadres, bank- of creditcardgegevens, foto's en zelfs IP-adressen betekenen. Als u informatie over bezoekers van uw website verzamelt die rechtstreeks naar een specifieke gebruiker verwijst (bijvoorbeeld gezondheidsinformatie, religieuze opvattingen, lidmaatschap van een vakbond of zelfs burgerlijke staat voor verzekeringsgerelateerde doeleinden), worden dit als gevoelige gegevens beschouwd. Gevoelige gegevens vereisen een ander en belangrijker beheer dan alleen persoonlijke gegevens.

2. Heeft u een geldige reden of toestemming om die gegevens te verzamelen?

AVG belet je niet om persoonlijke gegevens te verzamelen of te bewaren. Het vereist dat u een legitieme reden hebt om dit te doen of dat u toestemming krijgt van de gebruiker voordat u deze verzamelt. Een legitieme reden kan zijn het onderhouden van een contractuele relatie of het creëren van de mogelijkheid om in de toekomst gerelateerde producten aan de klant te leveren of op de markt te brengen. Als u die link niet kunt maken, zoek dan toestemming van de gebruiker voor zeer specifieke doeleinden en documenteer die toestemming.

3. Wat zijn uw beveiligingsmaatregelen of -beleid?

Zelfs als klein bedrijf moet u nadenken over uw prospect- en klantgegevens. Hoe ga je het beschermen? Kunt u personen en autoriteiten binnen 72 uur op de hoogte stellen als hun gegevens zijn geschonden?

4. Hoe geeft u prospects/klanten toegang tot hun gegevens?

De AVG zegt specifiek dat de gebruiker eigenaar is van de gegevens die over hem of haar gaan. Bedenk of u gebruikers binnen een maand tijd toegang kunt geven tot hun informatie? Gebruikers hebben het recht om toegang te krijgen tot hun gegevens, ze te corrigeren als ze onjuist zijn en u ze te laten verwijderen als ze niet langer willen dat u ze bewaart. In sommige gevallen heeft u mogelijk recht op uitstel van de maandklok. Een verlenging is maximaal 90 dagen en moet onder een bijzondere en gerechtvaardigde omstandigheid vallen.

5. Heeft u een DPO nodig?

Een DPO is een functionaris voor gegevensbescherming. De meeste kleine bedrijven hebben er geen nodig, maar de AVG vereist dat u er een heeft als uw kernactiviteiten regelmatige en systematische monitoring van individuen op grote schaal vereisen; uw kernactiviteiten bestaan ​​uit het verwerken van bijzondere gegevens, of informatie over strafrechtelijke veroordelingen. Als u een heel klein bedrijf bent en geen grote hoeveelheden gegevens verwerkt, hoeft u geen DPO te hebben.

6. Wat staat er in je mededelingen?

Kijk nog eens terug naar je privacybeleid en de gebruiksvoorwaarden voor je digitale producten en diensten (inclusief je website). Hopelijk heb je deze al; zo niet, dan is dit het moment om die op orde te krijgen. Met de AVG wilt u de kennisgevingen wijzigen om in duidelijke taal uit te leggen hoe gebruikersinformatie wordt verzameld, beheerd en gebruikt.

7. Wat doen je partners?

Om aan de AVG te voldoen, moet je ervoor zorgen dat je partners ook aan de AVG voldoen. Voor kleine bedrijven kan dit een tijdsinvestering zijn. Als u software of services gebruikt die in de cloud zijn gebaseerd, is de kans groot dat ze al een standpunt hebben ingenomen over de AVG en mogelijk zelfs uw overeenkomst hebben aangepast om de naleving van de leverende organisatie weer te geven. Neem eerst contact op om dit te controleren, en als uw partners dat niet zijn, overweeg dan om een ​​nieuwe overeenkomst te schrijven met een verzoek om naleving van de AVG.

8. Waar bewaart of verwerkt u gegevens?

Voor een klein bedrijf dat zaken doet met bedrijven in de EU, is het grootste probleem de overdracht van gegevens naar de VS. Helaas is de EU van mening dat de VS niet over adequate beveiligingscontroles beschikt om de online rechten van een individuele gebruiker te beschermen. Het goede nieuws is dat als je een klein bedrijf bent, je waarschijnlijk diensten in de cloud gebruikt, en veel van hen zijn GDPR-compatibel geworden. Voor degenen die dat nog niet hebben gedaan, kan het zinvol zijn om uw hosting of opslag te verplaatsen naar een EU-gebaseerde cloudoplossing. Anders moet u stappen ondernemen om ervoor te zorgen dat EU-gebruikersgegevens worden versleuteld, overgedragen en opgeslagen met een hogere mate van beveiliging en dat u dat niveau van naleving hebt gevalideerd.

Ga verder naar het goede deel van de AVG!

GDPR kan zeker ontmoedigend en eng lijken voor een klein bedrijf (inclusief ik!). Met de nieuwe regels voor gegevensbescherming kan uw bedrijf boetes oplopen tot 2% van uw jaaromzet of € 10 miljoen (ongeveer $ 11,6 miljoen), afhankelijk van wat hoger is. Voor inbreuken op persoonlijke gegevens stijgt dat tot 4% van de omzet of € 20 miljoen ($ 23 miljoen.) Maar er is ook een concurrentievoordeel bij de aanpassing aan de AVG!

Hoewel het voor ons allemaal gemakkelijk is om de AVG als een last te zien, is het iets dat in uw voordeel kan worden gebruikt en waarde toevoegt aan uw bedrijf. Wanneer u prospects/klanten voorziet van een bedrijf dat voldoet aan de AVG, bouwt u vertrouwen op. En in werkelijkheid houdt niemand ervan dat hun gegevens verloren, gestolen, beschadigd, misbruikt of gedeeld worden zonder de juiste toestemming. Wetende dat u aan de AVG voldoet, betekent dat u de gegevens van uw klanten respecteert en beschermt en dat u een hogere waarde aan uw klanten toont. Dit wordt gewaardeerd en werpt nu zijn vruchten af, maar ook later.