digio | SAP Technisch ApplicatiebeheerOp 25 mei 2018 treedt de nieuwe privacywet Algemene verordening gegevensbescherming (AVG) in werking. Ik ben (MKB) ondernemer, heb een aantal medewerkers en natuurlijk mijn klanten. Niet spannend volgens Huub de Bie, directeur van Digio, maar er zijn wel een aantal dingen om op te letten. We dienen nu te documenteren welke privégegevens van wie ze in bezit hebben, hoelang ze die bewaren en wat ze er mee doen.
Volgens de Autoriteit Persoonsgegevens, de instantie die verantwoordelijk is voor handhaving van de wet, is de belangrijkste verandering voor ondernemers dat ze nu een verantwoordingsplicht hebben. Met documenten moet je kunnen aantonen dat je ”de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen”.
Huub de Bie: “We hebben vooral gekeken dat we onze gegevens goed op orde hebben. De verwerking van persoonsgegevens moet aan duidelijke doelen gebonden zijn en we moeten kunnen aantonen dat het goed geregeld is”.
Voor het op orde brengen van je organisatie moet je verschillende stappen doorlopen. Eerst breng je dus in kaart welke privégegevens er zoal in jouw organisatie bewaard worden en maak je daar een soort inventaris van. Vervolgens moet je twee verschillende trajecten doorlopen. Voor een gemiddeld MKB-bedrijf met een beperkt aantal personeelsleden en een groep klanten hoeven deze stappen niet erg ingewikkeld en tijdrovend te zijn.
Data sheriff niet noodzakelijk: Het aanstellen van een functionaris gegevensbescherming(FG) is niet nodig omdat Digio, geldt voorde meeste MKB-bedrijven, geen bijzondere op strafrechtelijke persoonsgegevens verwerkt en de verwerking van persoonsgegevens geen kernactiviteit is.
DPIA niet noodzakelijk: Als vuistregel geldt dat indien en geen FG nodig is er ook geen sprake is van DPIA. DPIA is nodig als o.a. op grote schaal persoonsgegevens worden verwerkt en gemonitord, als gevoelige gegevens worden verwerkt, nieuwe technologieën en/of gekoppelde databases worden gebruikt.
De eerste stap is het maken van een intern verwerkingsregister. In het intern verwerkingsregister wordt aangegeven welke gegevens je bewaart en met welk doel. Hierin neem je op de bewaartermijn, aan wie je de gegevens verstrekt en eventueel of deze gegevens binnen Europa of ook daarbuiten gebruikt worden.
Bij Digio, zoals bij vele andere MKB’ers, worden medewerkersgegevens verwerkt voor de salarisuitbetaling, beoordelingscyclus, pensioen, leaseauto regeling, ziekteverzuim e.a. en zijn klantengegevens voor contact en tussenpersonen nodig voor de service van de Helpdesk.
Huub de Bie: ”Een groot aantal van die verwerkingen hebben wij uitbesteed aan derden. Met deze partijen moeten afspraken gemaakt worden over deze persoonsgegevens. We leggen dat vast in en verwerkingsovereenkomst. Als Wat mij opviel was dat ik van nog geen enkele partij enige actie heb vernomen over AVG en 25 mei is niet ver meer weg! Immers deze partijen hebben veel meer klanten waarvoor iets geregeld en vastgelegd dient te worden. Ik heb de relaties die niet gereageerd hebben daarom zelf maar een verwerkersovereenkomst aangeboden. Hiervoor heeft Digio gebruik gemaakt van de diensten van RechtOpRecht”.
Mike Krak (Rechtoprecht): Verwerkersovereenkomst: (eventueel Mike iets over zeggen over ervaring en standaard liggen)
De tweede stap is dat je een aantoonbaar privacy beleid moet hebben. ”Je moet degene van wie je gegevens bewaart, bijvoorbeeld je klant of medewerker, informeren wat je van hem weet en wat je ermee doet.” Houd er daarbij rekening mee dat de klant en/of medewerker in de nieuwe wet echt koning is: hij krijgt het recht op inzage en verwijdering, maar ook op dataportabiliteit. Dat is het recht om data op te vragen en door te geven aan andere organisaties.
Huub de Bie: “We zijn nu bij Digio bezig om ons privacy statement af te ronden. Daar moeten we best even wat denkwerk in stoppen maar ik vind dat het bijzonder nuttig is om eens goed na te denken over de persoonsgegevens die je beheert. Naar de medewerkers maar ook naar klanten geeft het vertrouwen. We gaan binnenkort naar onze medewerkers en klanten communiceren wat ons privacy statement voor hen betekend. We zullen dan ook moeten vragen voor een akkoord. Hierin worden we begeleid door RechtOpRecht want ik vind dat wij zelf niet het wiel weer moeten uitvinden”.
Over de samenwerking met Rechtoprecht: “Samenwerking met een partij zoals Rechtoprecht bespaart tijd en geld omdat het denkwerk over rechtsgeldige zaken als ‘aantoonbaar privacy beleid’, communicatie met de medewerkers en klanten, verwerkersovereenkomst al eerder zijn gemaakt en gebruikt. Deze eerder opgedane ervaringen kunnen direct ingezet worden bij Digio.
Maar ook bevalt de samenwerking omdat Rechtoprecht naar een rechtsgeldige oplossing zoekt en ikzelf als IT-er meteen denk aan IT-oplossingen. Bijvoorbeeld bij het recht van ons personeel op inzage in de eigen dossiers dacht ik aan inregelen van authorisatiestructuren. Bij andere klanten van Rechtoprecht had men voor een eenvoudige en voor de hand liggende oplossing gekozen door de medewerker samen met een medewerker van de administratie de eigen dossiers te laten inzien.
Valkuil: Als de persoonsgegevens gebruikt worden in een keten van dienstverleners kan dit nog wel eens een valkuil zijn. Denk bijvoorbeeld aan een event dat je organiseert als sponsor en waarbij je samenwerkt met een evenementenbureau dat op zijn beurt weer werkt met externen voor de kaartverkoop, het printen van badges en de catering die persoonlijke dieetwensen bijhoudt.
Huub de Bie: “Bij Digio worden medewerkers ingezet via partners. Er is soms sprake van een hele keten en worden wij geacht persoonsgegevens door te geven die ik niet altijd kan thuisbrengen. Het standaardantwoord is dat dit noodzakelijk is voor de Wet Ketenaansprakelijkheid. Nu geeft AVG mij een middel in handen om hierop door te vragen. Dat zal ik ook zeker gaan doen”.
Digio: Digio is gespecialiseerd in de technische inrichting, migratie en upgrade van SAP-omgevingen en het beheer op basis van 7 x 24 uur m.b.v. real time monitoring. Digio doet dit al ruim 17 jaar.
Rechtoprecht: Recht-oprecht, dé sparringpartner voor MKB-ondernemers. Recht-oprecht heeft een scherpe focus op kosten en werkt zo efficiënt mogelijk aan het verbeteren van de juridische dienstverlening.