Eén antwoord van de overheid

  • Rachel Marbus, Boris Goranov, Natalie Lobo:

Ga aan de slag met de privacywet

De nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als de General Data Protection Regulation (GDPR), is per 25 mei 2018 in gegaan. Dat raakt het hele bedrijfsleven: van groot bedrijf tot zzp’er. Drie ondernemers spreken over de maatregelen die ze wel en niet nemen om de privacy van hun klanten te waarborgen. En waarom elk bedrijf maatregelen moet nemen om aan de privacywet te voldoen.

Natalie Lobo van Alsa Zorg (eenmanszaak, maar kijkt naar samenwerkingen)

“Je hebt al privacygevoelige informatie als je maar een paar klanten hebt: een naam, telefoonnummer, een e-mailadres. Die info kan al naar mensen leiden. Het is aan jou als ondernemer om ervoor te zorgen dat je klanten erop kunnen vertrouwen dat jij hun gegevens vertrouwelijk behandelt. Dus toen ik las over de nieuwe privacywet, ben ik aan de slag gegaan. Ik wil het in één keer goed doen, dus vroeg ik advies bij een expert. Als mantelzorgondersteuner heb ik voornamelijk particuliere cliënten. Zij zijn soms bezorgd over wat ik met hun gegevens doe. Zelf krijg ik ook regelmatig mails of nieuwsbrieven waar ik niet om gevraagd heb en dan weet ik dat een bedrijf mijn gegevens doorgegeven heeft. Dat kan echt niet. En voor mijn cliënten wil ik dat zeker niet.”

Natalie Lobo 3

Privacyreglement op je website

“Wat ik onder andere doe is een privacyreglement opstellen dat op mijn website komt. Het hele proces moet kloppen: van contactformulier tot backoffice waar ik de gegevens verwerk. Wat doe ik met de gegevens, hoe sla ik ze op, met wie deel ik ze, hoe verwijder je je gegevens en hoe dien je een klacht in? Dat wil ik allemaal netjes opschrijven voor mijn sitebezoekers en cliënten, zodat iedereen weet waar hij aan toe is. Daarnaast kijk ik naar mijn informatiesystemen, naar de backoffice waar ik de toestemming vastleg die cliënten geven om de info op te slaan. Dit doe ik samen met een zzp’er van BC Helpdesk, maar ook via ZZP Nederland kan ik samenwerken met een bedrijf dat een tool biedt om alles up to date te houden voor de privacywetgeving. Ik vertrouw erop dat het goed gaat komen.

Boris Goranov van Ubiqu (bedrijf met 10 werknemers):

“We ontwikkelen een product, een app, waarmee we geen persoonsgegevens opslaan. Helemaal niks. Onze klanten hebben de persoonsgegevens en wij versleutelen die voor ze tot nummertjes. Niets is meer herleidbaar. Daardoor hebben wij als bedrijf weinig te vrezen van de nieuwe privacywet, want we werken er juist aan om de wet voor te zijn. Mijn compagnon en ik zorgen dat je met een app deuren kunt openen en inloggen. Geen fysieke sleutels en inlogkastjes meer nodig. Dit doen we met zijn tienen. We denken dat je het principe door kunt trekken naar allerlei andere zaken: met een app aantonen wie je bent, de app in plaats van je rijbewijs laten zien, de app om door de paspoortcontrole te komen, enzovoort. Zo kun je voorkomen dat je moet rondlopen met heel veel persoonsgegevens.”

Oude data weggooien

“Het aantal klanten dat we hebben kun je op één hand tellen. Dat zijn de grote bedrijven die een oplossing zoeken voor het bewaren van klantgegevens. Daardoor hoefden wij zelf vrijwel niks te doen om te voldoen aan de AVG. Overigens vind ik de wet een heel goeie ontwikkeling. Mensen zijn hoarders en verzamelen data omdat ze denken het ooit nog eens nodig te hebben. Dat is over het algemeen niet het geval. Al die oude systemen die ongebruikt zijn, en vervolgens onbruikbaar worden. De nieuwe wetgeving dwingt bedrijven om al die oude data weg te gooien, eens flink op te ruimen.”

Boris Goranov 3

Voor kleine bedrijven: besteed het uit

“Wat ik ook goed vind is dat er ook daadwerkelijk consequenties zijn als je niet voldoet aan de wetgeving. Je moet serieus zijn. Wel is de administratieve last voor kleine bedrijven onevenredig groot. Zij zouden risicoanalyses moeten doen, privacyofficers moeten aanstellen, dat soort dingen. Daar zouden de handhavers ook niet ingewikkeld over moeten doen vind ik. Een tip van mij aan kleine bedrijven en zzp’ers zou overigens zijn om dit uit te besteden. Laat de mensen die hier verstand van hebben voor je uitzoeken wat je zou moeten doen. Focus zelf vervolgens op hoe je je klant kan helpen en maak je toegevoegde waarde aantoonbaar. Dan blijft je klantenkring groeien.”

Rachel Marbus privacy officer van de KPN (bedrijf met 13.000 voltijd werknemers)

“De laatste jaren is er een vlucht aan technologische middelen en we vinden het normaal dat we daarvoor veel privacy inleveren. Dat is het niet. Met deze wet worden bedrijven gedwongen om te werken aan het veilig opslaan van al onze gegevens, wat ik heel goed vind. Als privacy officer ben ik verantwoordelijk voor goed omgaan met persoonsgegevens en met het grondrecht op privacy. Dat doe ik voor zowel de klanten van KPN als de werknemers. KPN is drie jaar voordat de wet inging aan de slag gegaan met de AVG, ik haakte bijna anderhalf jaar geleden aan. Het was ook nodig om er die tijd voor te nemen.”

Ontwikkel een standaardvragenlijst

“De grootste verandering die de wet met zich meebrengt is dat je op elk moment van iedere dag moeten kunnen laten zien dat je het goed doet op het gebied van privacy en persoonsgegevens. Je moet het dus niet alleen zelf wéten, maar ook aan kunnen tonen. Dit kun je bijvoorbeeld doen met een verwerkingsregister. Daarin breng je in kaart wat voor persoonsgegevens je verwerkt, wat de bewaartermijn is, welke derde partijen toegang hebben, welke contracten je afgesloten hebt over de gegevens, enzovoort. Dit moet je dan wel live houden en dus direct verwerken. Dat is een hele klus, voor een groot bedrijf, maar zeker voor MKB. Een privacy impact assessment is voor ieder bedrijf aan te raden. Ontwikkel een standaardvragenlijst voor jezelf en voor je medewerkers zodat ze hun nieuwe ideeën en suggesties kunnen testen op privacy. Een stoplichtkleur geeft aan of het voldoet aan de richtlijnen. Ook als je een klein bedrijf hebt, helpt zo’n lijst erg.”

Rachel Marbus 3

Ethische vragen

“Een nadeel van deze wet is wel dat het een zware administratieve last is, het neigt naar regeltjesdrift terwijl het een grondrecht is. Het is groter dan je aan de regels houden, het gaat om ethische vragen over iemand vertrouwen met gegevens en ook natuurlijk om de klant tevreden houden. Er zit veel gevaar in de hoeveelheid data die je bijvoorbeeld via smartphone-apps deelt. Ook social media, zoals Facebook en Twitter, hebben daar ingewikkelde instellingen voor. Het feit dat mensen betrokken raken bij privacy en erover discussiëren is heel goed. Zet dingen uit, deel dingen niet snel. Geef geen kopie van je id-bewijs als je niet weet hoe het bedrijf je info verwerkt. Ik ben blij en dankbaar dat mensen kritisch worden, want dat betekent dat bedrijfsleven en overheid daarin verantwoordelijk moeten nemen.”

Wat vindt de klant fijn

“Aan bedrijven: het is nooit te laat om hier alsnog mee aan de slag te gaan. Kijk naar wat de belangrijkste zaken zijn die je moet doen. Begin misschien maar met het verwerkingsregister, dan zie je waar de gegevens zitten en komen vanzelf dingen boven die je aan moet passen. Voor zzp’ers: ga eens naar een seminar om te kijken of er dingen zijn die je aan moet passen. Je hoeft niet alles zelf te kunnen. Heb je veel persoonsgegevens, ga dan op zoek naar een expert om je te helpen. Wees niet bang voor de AVG. Het is veel, het is ingewikkeld en het is streng, maar doe het gewoon. En voor ieder bedrijf geldt: denk ook aan wat jij als klant fijn zou vinden. Wat zou jij nodig hebben om een bedrijf te vertrouwen met je gegevens?”

Meer lezen

Houd u aan de Algemene Verordening Gegevensbescherming (AVG)

Interview over de AVG met de voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen External link

Regelhulp Algemene verordening gegevensbescherming (Autoriteit Persoonsgegevens)External link