Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.

AVG - Hoe zat het ook alweer?

hein meijer AVG veilig werkenOp 25 mei 2018 is een nieuwe privacywet in werking getreden. Deze Algemene Verordening Gegevensbescherming (AVG) vervangt de Wet Bescherming Persoonsgegevens. Ieder bedrijf moet aan de nieuwe privacyregels in de AVG voldoen, dus ook jouw bedrijf. In Europees verband wordt gesproken over GDPR (General Data Protection Regulation) denk daaraan als je met een Belgische relatie spreekt, ze misschien niet weten dat wij weer een eigen term noodzakelijk vonden.

De AVG verplicht alle ondernemingen en organisaties die met persoonsgegevens werken om te voldoen aan de eisen rondom de bescherming van persoonsgegevens. Je moet kunnen aantonen dat je het verwerken van persoonsgegevens veilig, goed en verantwoord geregeld hebt. Door deze AVG krijgen burgers meer en verbeterde privacy rechten. Zo is er recht op inzage, recht op correctie en recht om vergeten te worden. Je moet het jouw relaties eenvoudig mogelijk maken om deze rechten te kunnen gebruiken. Ook moet er voor het gebruiken van persoonsgegevens toestemming worden gevraagd aan de betrokkenen.

Foto's en films mogen niet zonder expliciete toestemming gepubliceerd worden en voor elke categorie gegevens (NAW, geslacht, geloof, medisch etc.) heb je toestemming en een goede reden nodig om ze te mogen gebruiken, opslaan en bewaren. Ook aan de bewaartermijn zijn strikte regels verbonden.

Waarom een strengere wet?

Omdat technologisch zoveel meer mogelijk is geworden en de vooruitgang niet stil staat moeten individuen beter beschermt worden tegen het misbruiken van hun eigen gegevens. Vooral de gespecialiseerde (marketing) bedrijven weten handig allerlei informatie over een persoon te verzamelen en te koppelen. Op die manier kun je zo ongelofelijk veel informatie over iemand bezitten dat je iemand er gemakkelijk mee kun beïnvloeden of zelfs manipuleren.

Het gevaar zit er vooral in dat je gegevens gecombineerd gaan worden. Bij het ene bedrijf vertel je dit over jezelf en bij het andere dat. Doordat bedrijven op de achtergrond je gegevens combineren (verhandelen) ontstaat er een zeer gedetailleerd totaalplaatje van jou. Handige marketeers kunnen daarmee zeer gerichte reclame maken. Maar in verkeerde handen kunnen de gegevens gebruikt worden voor bijvoorbeeld identiteitsfraude.

Data beveiliging

Je moet ook kunnen aantonen dat je verantwoord met persoonsgegevens omgaat. Dit betekend bijvoorbeeld dat je moet aangeven waar je gegevens opslaat, hoe je gegevens beveiligd, hoe je back-up geregeld is en wat er gebeurt mocht er toch iets fout gaan (datalek).

Je kunt dit het beste in een register bijhouden. Eventuele wijzigingen in bijvoorbeeld soorten gegevens en plaats van opslaan of nieuwe verwerkers kun je dan snel doorvoeren. Zo'n register kan eenvoudig in Excel gemaakt worden.

Verwerkersovereenkomsten

Gegevens die jij verzameld van je klanten die sla je ergens op. Maar vaak geef je ze ook door (of een deel ervan) aan partijen met wie jij samenwerkt. Bijvoorbeeld je boekhouder, nieuwsbrief software, brancheorganisatie, overheid etc. Met al die partijen moet je een duidelijke verwerkingsovereenkomst opstellen zodat zij, jij én de persoon van wie de gegevens zijn weten wie nog meer gebruik maakt van de persoonsgegevens en om welk deel van de gegevens het gaat.

Stel dat je een back-up van je gegevens opslaat op Onedrive of Googledrive, dan moet je ook met die partijen een verwerkingsovereenkomst opstellen. Dit kun je eenvoudig verantwoorden door een versleutelde versie van je back-up daar op te slaan. De andere partij kan de gegevens dan niet inzien en hoef je alleen dat te vermelden.

Ben transparant en eerlijk

hein meijer AVG consultLaat je klanten weten welke gegevens je verzameld en met welke reden. Zeker als iemand er om vraagt. Als je alles gewoon kunt verantwoorden dan zal niemand zomaar bezwaar maken. Maar als jij als opticien de schoenmaat van klanten opslaat dan heb je een sterke overtuiging nodig. "Je schoenmaat = je korting" is niet voldoende om de gegevens te mogen bewaren.

Verstuur je regelmatig een nieuwsbrief? Vermeld dan kort maar duidelijk altijd de optie om je uit te schrijven en zorg dat die met één klik geregeld is. Als iemand je nieuwsbrief niet meer wilt zal daar wel een reden voor zijn. Hoe makkelijker je het uitschrijven maakt hoe reëler de kans dat iemand toch geabonneerd blijft of zich opnieuw abonneert.

Je kan de ontvanger ook de regie in handen geven en een optie inbouwen waarmee ze kunnen aangeven of ze de nieuwsbrief vaker of minder vaak willen ontvangen.

Maak je nieuwsbrief onweerstaanbaar, dan schrijft niemand zich uit. Elke keer een cliff hanger en niemand zal opzeggen ;)

Creatieve kansen

De AVG biedt ook kansen. Als kleine ondernemer kun je relatief eenvoudig aan de bescherming van persoonsgegevens voldoen. Laat dat ook merken, zonder het er dik bovenop te leggen. Maak bekend welke gegevens je minimaal nodig hebt en leg uit waarom. Wil je nog iets meer weten zoals bijvoorbeeld een geboortedatum of geslacht, stel daar dan iets tegenover. Zeg dat je attent wilt zijn als iemand jarig is of af en toe aanbiedingen wilt sturen die speciaal voor hem of voor haar zijn.

Tegenover Facebook en Google profiteer je bij die openheid als klein(er) bedrijf van de voorkeur in vertrouwen van de klant.

 

9 stappen naar een 'geen omkijken meer naar' AVG

Doorloop de volgende stappen en je bent er klaar voor

Het is heel normaal als je daar hulp bij wilt. Ieder zijn vak toch? Daarbij wil je het in één keer goed geregeld hebben om het daarna eventueel zelf te kunnen bijhouden. Je verklaringen, het register en de automatisering optimaal in orde.

1. Inventariseren persoonsgegevens

Ga eerst uitzoeken waar je overal gegevens van je klanten hebt opgeslagen. Van pc, tot cloud en van smartphone tot usb stick. Probeer alle gegevens samen te voegen tot één of twee plaatsen waardoor je er meer kijk op hebt. Schoon vervolgens op wat je niet meer nodig hebt of echt kunt verantwoorden.
Verwijder indien mogelijk gegevens van oude klanten, prospects, soorten gegevens (categorieën) die niet meer nodig zijn.

2. Opstellen AVG verklaring

Er zijn heel veel standaard verklaringen op de markt, die de lading maar deels dekken of sterk de indruk geven dat je je er wel heel gemakkelijk af hebt willen maken. Er straalt in geen geval vertrouwen uit dat jij bewust met de AVG bezig bent.

Stel een verklaring op waarin je op een duidelijke en eenvoudige manier uitlegt welke gegevens je met welke reden bewaard en hoe je dat doet. Schrijf in je eigen stijl, zoals je normaal ook communiceert met je relaties. Maak er juist iets persoonlijks van waardoor de verklaring nog eens extra bijdraagt in het vertrouwen.

Geef aan hoe relaties hun gegevens kunnen inzien, wijzigen en verwijderen. En vertel bij wie ze zich kunnen melden met vragen om daar snel mee geholpen te worden. Jij hebt persoonsgegevens van iemand anders, jouw taak om uit alles te laten blijken dat jij daar zorgvuldig mee omgaat.

3. Aanleggen AVG register

Aangezien je nu toch aan het inventariseren bent weet je welke gegevens je hebt, waar ze zijn opgeslagen, hoe je back-up geregeld is en op welke manier je netwerk beveiligd is en up-to-date blijft.
Leg het dan meteen vast in een register. Excel is daar zeer geschikt voor. Het voordeel is dat mocht je iets wijzigen je dat eenvoudig in het register kunt bijwerken. Bij controle heb je een enorme voorsprong als je middels zo'n register kunt aantonen hoe jou AVG geregeld is. En bij overdracht of het inwerken van personeel heb je een geweldige ondersteuning aan zo'n register.

4. Personeel, geheimhouding, training

hein meijer AVG geheimHeb je personeel, een meewerkende partner, familie of freelancers die af en toe uithelpen? Zorg dan dat ook zij goed op de hoogte zijn van jouw handelswijze met betrekking tot persoonsgegevens. Het register kan daarbij weer goed van pas komen. Wie heeft welke rechten, waar staan gegevens en waar moet op gelet worden bij mailverkeer en andere communicatie?

Leg al dat soort zaken vast in het register zodat je bij vragen of overdracht snel weet hoe het ook alweer zat.

Ben ook niet bang om een geheimhoudingsverklaring te laten tekenen. Dat is een hele normale overeenkomst als je met 'gevoelige' informatie werkt. Daar vallen persoonsgegevens ook onder. Een professional zal vinden dan je goed bezig bent en door zo'n geheimhoudingsverklaring bewust zijn van wat er geregeld is. Iemand die daar moeilijk over doet kan ook slordig omgaan met jou (bedrijfs)gegevens. Vaak is het tekenen ook een mooie gelegenheid om interne processen met elkaar te bespreken.
Misschien blijkt daaruit dat een training gewenst is. Net als bijvoorbeeld de cursus BHV kan een training AVG ook nuttig zijn. De kennis en bewustwording worden zo vergroot en het staat weer goed in je register. Een AVG bewustwordingstraining duurt doorgaans maar een halve dag plus een online deel om de kennis goed eigen te maken en houden. Bij een eventuele controle wordt je score door zo'n AVG training 100% top in orde :)

5. Verwerkersovereenkomsten

Breng in kaart met wie je allemaal gegevens deelt. Het gaat dan om zowel jouw gegevens met andere partijen, maar wellicht krijg jij ook gegevens van derden om te verwerken.

Stel per verwerkende partij een document op om welke gegevens het gaat, waarvoor ze overgedragen worden, wat de ander er mee mag en niet mag en hoe lang ze bij die ander bewaard worden. Noteer ook wat er gebeurt met de gegevens na beëindiging van de samenwerking. Hoewel het uitwisselen van gegevens veelal gebeurt op basis van vertrouwen wil je wel vast hebben liggen dat als het fout gaat wie de verantwoording heeft.

De verwerkingsovereenkomsten zul je ook in je AVG verklaring moeten melden, zodat jouw relaties weten wat er met hun gegevens gebeurt en je zo laat blijken dat je het echt allemaal goed onder controle hebt.

6. e-mailverkeer, website en web-formulieren

Wat vaak vergeten wordt zijn de tegenwoordig belangrijkste kanalen van communicatie. Als je het nog niet geregeld hebt zorg dan dat zo meteen, ik bedoel echt over een paar minuten, je website via TLS, voorheen SSL, beveiligd is. Het hacken van een website kan altijd gebeuren, maar zorg in elk geval dat het verzenden van gegevens via formulieren en de communicatie met je website versleuteld is. Dan kunnen in elk geval de gegevens niet door anderen partijen gelezen worden. Sterker nog, officieel kun je spreken van een datalek als je formulieren op je website gebruikt en je websiteverkeer niet via 'https' verloopt. Je kunt dan namelijk niet met zekerheid aantonen dat de gegevens niet door anderen onderschept of meegelezen worden.

Maar let ook op je e-mail verkeer. Zet niet alle ontvangers in het AAN vak, maar gebruik BCC. Bescherm je maildomein met dmarc en spf. Tja, het is niet anders, maar dat zijn termen waarbij je website- of domeinbeheerder je moet helpen. Laat in elk geval je e-mail en website beveiliging goed nakijken en blijf bij met de laatste ontwikkelingen.

7. Cookieverklaring

Het hoort bij de website, maar toch even apart. Controleer welke cookies je website allemaal plaatst bij de bezoekers. Zijn die allemaal echt nodig? Vraag je op de juiste manier toestemming?
Veel te vaak zie ik dat er slechts één functionele cookie wordt geplaatst om de statistieken anoniem bij te houden, maar als je de disclaimer dan leest denk je dat er meer cookies geplaats worden dan Google en Facebook samen gebruiken. Maar ook andersom gebeurt, dat er toch door het gebruik van allerlei toepassingen cookies van Facebook of andere partijen geplaatst worden maar er geen melding over gemaakt wordt. Dat laatste mag absoluut niet, maar het eerste is ook niet correct.

Houd het simpel voor jezelf. Wil je weten hoeveel bezoekers er op je website komen en welke pagina's 'hot' zijn, dan heb je aan de geanonimiseerde gegevens van Google analytics ruim voldoende. Een eenvoudige cookievermelding volstaat dan en is soms niet eens nodig.
Wil je uitgebreide analyses kunnen maken en strakke marketingcampagnes leiden waarbij de advertentiestatistieken de inkomsten bij moeten houden? Besteed dat dan uit aan een bureau die dat prima voor jou kan uitvoeren. 

8. Kantoorautomatisering

Ga er eens rustig voor zitten en kijk eens om je heen welke apparatuur je allemaal zakelijk gebruikt. Dus ook eventuele privé spullen waarmee je af en toe met je bedrijfsgegevens verbinding maakt.

Staat op al die apparaten de laatste software qua besturingssysteem, virusscanner, firmware, office applicaties etc.? En wordt dat ook allemaal automatisch en regelmatig bijgehouden en gecontroleerd?

Dus niet alleen je pc, maar ook je smartphone, tablet, printer, router, bewakingssysteem en alle aan je netwerk gekoppelde 'huishoudelijke' apparaten moeten af en toe van een update voorzien worden.

Ook hier geldt weer, dat als het mis gaat je in elk geval kunt verantwoorden dat je er alles aan gedaan hebt om de bedrijfsgegevens zo goed mogelijk te beschermen.

Breng alles in kaart. Noteer het in je register zodat je zelf of je systeembeheerder een praktisch document heeft aan de hand waarvan gecontroleerd kan worden welke apparatuur er aanwezig is, of alles bijgewerkt is en of er veiligheidsproblemen kunnen ontstaan, zogenaamde risicoapparatuur.

Hoe is je netwerk van buiten af beveiligd, hoe is de interne beveiliging, wie heeft toegang tot het netwerk en op welke manier is die toegang geregeld.

Is je wifi goed beveiligd en heb je een apart gastennetwerk? Dat is heel eenvoudig aan te leggen en bespaart je een hoop problemen.

Maar let ook op je laptop en telefoon. Hoe groot is de ramp als je die verliest. Hoe gemakkelijk is de toegang te kraken, maar ook hoe snel kun jij weer verder met een nieuw of vervangend apparaat.

9. Back-up + test

hein meijer AVG back upWaar staat jouw back-up van de gegevens? Werkt die en wordt dat getest? Hoe snel heb je de gegevens weer beschikbaar?

Veel te vaak zie ik dat de back-up een bijzaak is geworden, heel vaak is er niet eens een back-up, in het beste geval is er hier en daar een gedeeltelijke kopie van een aantal gegevens en wordt dat 'de back-up' genoemd.

Denk er eens aan als de volgende keer de internetverbinding weg valt. Hoe irritant vind je dat? En hoe lang duurt het voordat je ongeduldig wordt? Als je die korte tijd al in je werk beperkt wordt hoe overleef je het verlies van je gegevens dan? Stel je eens voor dat je nu, op dit moment, niet meer bij je gegevens kunt. Hoe lang overleeft jouw bedrijf dat dan? Dagen, weken, maanden? Hoe snel ben je weer helemaal up-and-running? Waar ligt het plan van aanpak?

Een goede en betrouwbare back-up is essentieel om je bedrijf te kunnen waarborgen. Maar een goede back-up is in veel gevallen ook verplicht, alleen al om aan je bewaringstermijnen te kunnen voldoen.  

Een back-up is niet een kopie van je gegevens op een schijfje, dat is een kopie. Een back-up bestaat uit een schema, vaak het 3-2-1 schema*, waardoor je gegevens op meerdere manieren terug te halen zijn maar ook bereikbaar zijn.

Met de huidige technieken is het eenvoudig om je gegevens overal ter wereld veilig bereikbaar te houden, dus als je kantoor niet toegankelijk is ga je ergens anders werken, zolang er maar een internetverbinding is.

*3-2-1 schema betekent eenvoudig uitgelegd dat je 3 kopieën van je bestanden bewaard op 2 verschillende (soorten) apparaten en waarvan 1 kopie op een andere locatie staat.

Zodra een back-up eenmaal goed is ingesteld dan verloopt het proces geheel automatisch. je hebt er eigenlijk geen omkijken meer naar. Hoewel, je moet met enige regelmaat je back-up wel (laten) testen, zodat je ook weet dat je gegevens toegankelijk zijn en niet voor vervelende verassingen komt te staan als je er een keer op terug moet vallen.

Veel back-up oplossingen sturen automatisch een bericht zodra er iets mis gaat. Maar ook met enige regelmaat een handmatig testje doen blijft noodzakelijk.

Denk bij een back-up niet alleen aan die van je gegevens. Denk er ook eens over na als je smartphone defect of kwijt raakt of je pc of laptop het begeeft. Hoe snel heb je die vervangen en staan alle gegevens er weer op? Ook dat valt onder het back-up verhaal.

 

 

Maar wat als… gebeurt…

Datalek…daar ben je…

Tja en dan gaat het toch mis. Ondanks alle voorzorgsmaatregelen zit je opeens met een datalek. Voordat het je stresslevel in het rood heeft gebracht moet je wel bedenken dat niet elk verlies van gegevens een datalek is dat je moet melden. Daarom is het sowieso handig als je in dat soort gevallen kunt terugvallen op je ICT beheerder.
Eerst moet worden vastgesteld welke gegevens verloren zijn geraakt en wat iemand anders met die gegevens kan. Stel je verliest je laptop met al je klantgegevens erop. De laptop staat uit en is beveiligd met een wachtwoord en een tweede authenticatie zoals extra code of vingerscan. De schijf is versleuteld met hoge encryptie. In zo'n geval hoef je dit niet te melden bij de autoriteit persoonsgegevens (AP) en niet te melden bij de betrokkenen. Het is wel een datalek in die zin dat het verstandig is dat je er een duidelijke en complete registratie van maakt, een soort proces verbaal. Zodat achteraf altijd duidelijk blijkt wat er gebeurt is en wat er gedaan is.

Ik wil er niet te ver over doorgaan, maar om een beeld te geven van hoe breed het begrip 'datalek' gaat nog twee veel voorkomende situaties.

  1. De harde schijf van je enige pc begeeft het. Je installeert een nieuwe schijf of koopt een pc en wil van je back-up schijfje (wat ik een kopie noem) de gegevens terugzetten. En dat lukt niet!?! Schijf blijkt leeg, defect of geformatteerd. Ook dat is een 'verlies van gegevens' en daarmee een datalek. Ik heb het niet verzonnen.
  2. Stel dat je met je bedrijfslaptop op een vliegveld zit en inlogt op een openbaar wifi netwerk. Ik hoef eigenlijk al niet meer verder te gaan, want officieel heb je dan al een datalek. Jij kunt namelijk niet garanderen dat anderen niet aan jou gegevens zijn gekomen.

Wordt je systeem gekraakt en liggen je gegevens letterlijk op straat of weet je het niet zeker, dan zul je er melding van moeten maken bij de autoriteit persoonsgegevens die vervolgens het lek gaan beoordelen en onderzoeken.

Voorkom een hoop ellende en beveilig alles goed. Laat je ook op een begrijpelijke manier uitleggen waar je op moet letten en waar de valkuilen zitten. Je gezonde verstand gebruiken is de enige manier, maar dat verstand moet wel even getraind worden.

Maar in alle gevallen:
STOP MET ALLES, blijf overal van af, bel je ICT specialist en neem een kop thee of koffie (of iets sterkers) tot je verdere instructies krijgt. Vooral geen paniek! Je ICT specialist heeft jou in het herstelproces namelijk hard nodig voor de juiste informatie!

Advies op maat

Dit hele verhaal moet je een beeld geven van wat er van jouw verwacht wordt in het kader van de AVG. En zaken waar je toch eens even goed over na moet denken en de tijd voor moet inplannen.

Wil je meer informatie of uitleg over wat het in jouw geval betekend en wat er ondernomen moet worden?

Vraag dan een vrijblijvend én gratis AVG consult aan. Het kan nooit kwaad om eens met een deskundige te praten, toch?

button regel nu je gratis telefonisch consult

Het gratis AVG consult bestaat uit een telefonisch consult van 15 minuten. Jij wordt teruggebeld. Doordat je al beknopt wat informatie doorgeeft kan het gesprek goed voorbereid en optimaal benut worden. Een consult van 15 minuten is ruim voldoende om je op weg te helpen als je even vastgelopen bent in het AVG proces. Een gesprek zal altijd afgesloten worden met een uitstekend advies waarbij jij alle vrijheid houdt of we verder gaan of dat je het zelf verder oppakt.

Het complete AVG pakket dat ik lever is speciaal bedoeld voor freelancers, ZZP'ers en ondernemers met weinig personeel en is niet kostbaar. En het advies met betrekking tot de automatisering en website is vrijblijvend en mocht het te kort schieten dan kan het in bijna alle gevallen in delen geïmplementeerd worden. 

Gewoon doen, waarom niet?! Vraag je gratis en vrijblijvende consult aan.

Tot horens, Hein

Doe een complete AVG controle, je gegevens, je netwerk, je website en meer.

Hein Meijer bied je een complete AVG controle aan.

Een gratis en vrijblijvend AVG consult is bedoel om je op weg te helpen.
AVG CONSULT compleet geregeld, geen zorgen Je AVG compleet in orde hebben zorgt voor rust en duidelijkheid. Zeker weten dat overal aan gedacht is en je ook echt alles onder controle hebt.
Meer rust en zekerheid voor jezelf met een goede AVG training.
AVG TRAINING weten waar het over gaat Ze maken jou niets meer wijs. Je bent goed op de hoogte van wat AVG inhoud en voor jouw bedrijf betekend. Je weet het AVG beleid perfect uit te voeren.
Een presentatie over de AVG kan zoveel duidelijk maken.
AVG LEZING iedereen goed geïnformeerd Speciaal voor bedrijven, verenigingen en organisaties. Een duidelijke presentatie over alle punten waar je bij de AVG normering op moet letten.
Een betrouwbare back-up is super belangrijk, ook voor je AVG!
BACK-UP & VEILIGHEID jouw gegevens veilig en bereikbaar Geen paniek meer als een document weg is of je laptop het begeeft. Vanaf nu een echte back-up waar je op kunt vertrouwen en altijd bij kan.