Het kan niet anders of je hebt gehoord van de AVG, dan wel van 25 mei 2018. Vanaf dat moment is de AVG (Algemene Verordening Gegevensbescherming) namelijk van toepassing. Hoe bereid je je daarop voor als boekhoud- of administratiekantoor.  

De AVG vervangt de Wet bescherming persoonsgegevens (Wbp). In de praktijk merken we echter dat menig kantoorhouder niet op de hoogte was van deze wet. De gevolgen op de inbreuk van de privacy-wetgeving kunnen groot zijn. Daarom geven wij deze tips ter voorbereiding.

De 10 belangrijkste stappen op een rij.

1. Bewustwording.
   Zorg ervoor dat je op de hoogte bent van de nieuwe privacy regels.
2. Rechten van betrokkenen.
   Je verwerkt persoonsgegevens van je klanten. Weet dat men recht heeft op inzage, correctie en verwijdering ervan. Hoe is dat nu in jouw kantoor geregeld?
3. Overzicht verwerkingen.
   Breng in kaart welke persoonsgegevens je nu verwerkt, waar ze vandaan komen en met wie je ze eventueel deelt.
4. Een Data protection impact assessment.
   Een hele mond vol, maar waar het omgaat is dat je vooraf al de privacy-risico's in kaart brengt. Dat maakt het ook een stuk eenvoudiger om de risico's te verkleinen.
5. Privacy by design & privacy by default.
   Verplichte uitgangspunten uit de AVG. In Jip en Janneke-taal, wat je niet hebt hoef je ook niet te beschermen. En weet wat je hebt, maar vooral wanneer niet meer nodig. Bewaar niet onnodig gegevens.
6. Functionaris voor gegevensbescherming.
   Onder de AVG kunnen organisaties verplicht zijn een functionaris voor gegevensbescherming aan te stellen. Of dat bij kantoren direct aan de orde is, is niet helemaal duidelijk. De wet zegt dat indien er op grote schaal bijzondere persoonsgegevens verwerkt worden er een FG moet zijn. Wat groot is, is niet gedefinieerd en bijzondere gegevens zijn zaken als geloofsovertuiging, ras, gezondheid, politieke voorkeur etcetera.
7. Meldplicht datalekken.
   Die meldplicht is er al even. Dus zou deze verankerd moeten zijn!? De nieuwe wet is wat strenger en gaat wat verder dan de oude.
8. Bewerkersovereenkomsten.
   Die overeenkomst was er ook al, en was op een kantoor vrijwel zeker van toepassing. Immers veel kantoren werken met boekhoudsoftware in de cloud waarbij de database met klantgegevens zowel fysiek elders staat als technisch ook door andere bewerkt. Heb je al overeenkomsten? Check dan of ze voldoen aan de nieuwe wetgeving.
9. Leidende toezichthouder.
   Heb je een kantoor met vestigingen in meerdere EU-lidstaten? Of hebben de gegevensverwerking in meerdere lidstaten impact? Weet dat je maar met één toezichthouder zaken hoeft te doen. Dit wordt dan de leidende toezichthouder genoemd. Bepaal in dat geval onder welke toezichthouder je valt.
10. Toestemming.
    Voor sommige gegevensverwerkingen heb je expliciet toestemming nodig van de betrokkenen. Registreer de wijze waarop je toestemming vraagt en maak duidelijk aan betrokkenen hoe men het weer kan intrekken. Dat intrekken moet net zo makkelijk zijn als dat geven (ooit) was.

De AVG versterkt de positie van de betrokkenen (de mensen van wie gegevens worden verwerkt). Zij krijgen nieuwe privacy-rechten en bestaande rechten worden sterker. Organisaties die persoonsgegevens verwerken (en dat doet een kantoor op zeker) krijgen meer verplichtingen. De nadruk ligt – meer dan nu – op de verantwoordelijkheid van organisaties, en dus ook de kantoren, om te kunnen aantonen dat zij zich aan de wet houden.

Wat voor impact heeft de AVG voor jouw kantoor, en kunnen wij je daarbij helpen?

Met regelmaat schrijven wij nieuwe blogs. Wil je op de hoogte blijven abonneer je dan op deze site.