Op 25 mei wordt de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG, ook bekend als de GDPR), van kracht. Deze wet verplicht u om een aantal maatregelen te nemen om de persoonsgegevens van uw klanten beter te beschermen.

Als u persoonsgegevens van uw klanten opslaat of laat opslaan, is deze wet van toepassing op u. Dat is al snel het geval: als u levert aan consumenten zijn alle klantgegevens persoonsgegevens. Maar ook als u alleen levert aan bedrijven krijgt u vaak persoonsgegevens in handen, zoals de geboortedatum of het telefoonnummer van een medewerker. Ook technische gegevens die gebruikt kunnen worden om iemand te identificeren, zoals IP-adressen, zijn persoonsgegevens.

Omdat wij van onze klanten hier veel vragen over krijgen, bieden wij hieronder enkele handvatten aan om uw bedrijf voor te bereiden op de nieuwe wetgeving.*

Verwerkersovereenkomst

Indien u het beheer van uw klantgegevens heeft uitbesteed aan een andere partij, zoals PWA, dan geldt die partij doorgaans als de verwerker van uw gegevens. U moet dan met uw verwerker een overeenkomst sluiten waarin u specifieke afspraken maakt over de manier waarop die gegevens worden behandeld.

Voor de partners van PWA bieden wij een op maat gemaakte verwerkersovereenkomst aan die u gemakkelijk kunt gebruiken. U kunt hem hier downloaden.

Lees het document zorgvuldig door, vul alle gegevens aan en verwijder wat niet van toepassing is. Vervolgens stuurt u twee exemplaren voor ondertekening naar PWA B.V., Pletterij 1F, 2211 JT Noordwijkerhout. Dit mag natuurlijk ook als scan via de e-mail op info@pwa.it. Zorg dat u dit regelt voor 25 mei.U moet zelf een aantal gegevens aanvullen; deze zijn geel gemarkeerd.

• Uw bedrijfsgegevens.
• De ingangsdatum van de dienstlevering door PWA.
• De aard van de diensten die u bij ons afneemt (op p. 1 en 2). We hebben al een aantal voorbeelden ingevuld.
• De aard van de persoonsgegevens die wij voor u verwerken (in bijlage 1). We hebben al een aantal voorbeelden ingevuld.

Verwerkingsregister

Onder bepaalde voorwaarden moet u een register bijhouden van alle persoonsgegevens die u verwerkt:

• als uw organisatie meer dan 250 personen in dienst heeft;
• bij risicovolle verwerkingen (zoals het opstellen van klantprofielen, of het verwerken van grote hoeveelheden gegevens);
• wanneer er structureel persoonsgegevens verwerkt worden;
• bij het verwerken van gevoelige gegevens (zoals etnische afkomst, politieke opvattingen en biometrische gegevens, waaronder pasfoto’s).

In dit register moet kort gezegd staan wat u opslaat, waarom en hoe. Meer informatie en een handig voorbeelddocument kunt u vinden op de website van ICTRecht.

Gegevensbeschermingsbeleid

In aansluiting op het voorgaande moet u ook een gegevensbeschermingsbeleid opstellen, zoals een datalekken-meldprocedure. U kunt hierover ook meer informatie vinden op de site van ICTRecht.

Algemene voorwaarden, privacyverklaring en cookieverklaring

De meeste bedrijven hebben al hun algemene voorwaarden, privacyverklaring en cookieverklaring op hun website staan. U moet controleren of deze nog actueel zijn. Via uw branchevereniging kunt u voorbeelddocumenten verkrijgen die toegespitst zijn op uw situatie.

Het informeren van uw klanten

Indien u uw algemene voorwaarden en privacyverklaring heeft veranderd, moet u hier uw klanten over informeren. Dit kan met een nieuwsbrief of door een berichtje op uw website. Daarbij kunt u uw klanten meteen op de hoogte stellen van de overige maatregelen die u heeft genomen om te voldoen aan de AVG.

Voor meer informatie over de nieuwe wetgeving en wat deze voor u betekent, kunt u terecht op de websites van ICTRecht en de Autoriteit Persoonsgegevens en bij uw branchevereniging.

*DISCLAIMER: we zijn automatiseerders, geen juristen. Aan de bovenstaande tekst kunnen dan ook geen rechten of garanties worden ontleend. U blijft er altijd zelf verantwoordelijk voor dat uw bedrijf voldoet aan de AVG. Wilt u diepgaander en op maat gemaakt advies ontvangen, dan raden wij u aan contact op te nemen met een juridische dienstverlener.