Donderdag 19 april 2018
Het prachtige weer inspireerde veel ondernemers om op de fiets richting Soestduinen te gaan. De zomerse omstandigheden en de fraaie locatie van restaurant De Soester Duinen waren ongetwijfeld goede redenen om aanwezig te zijn. Het informele contact met collega-ondernemers tijdens een smakelijke lunch is bovendien een prettige break van de dag. Het actuele onderwerp dat op de agenda stond haalde de laatste twijfelaars over de streep. De AVG, in de volksmond: de privacywet, zorgde vooraf voor veel vraagtekens. Robert van Asch en Dalila Dizdar van Consignium en Moshe Beukers van Bres Advocaten gaven een heldere presentatie. Veel is duidelijk geworden. Conclusie: Beleid maken is noodzakelijk.
Soester Zakenkring voorzitter Kees Wantenaar was blij met de grote opkomst. Hij zag meer dan 70 Soester ondernemers genieten van hun lunch. ,,De AVG is een onderwerp dat bedrijven en ook verenigingen aanspreekt.”
Ter introductie: Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf die datum geldt dezelfde privacywetgeving in de hele EU. Nu hebben de lidstaten nog hun eigen nationale wetten, gebaseerd op de Europese privacyrichtlijn uit 1995.
Robert van Asch en Dalila Dizdar van Consignium en Moshe Beukers van Bres Advocaten hebben ervaring met onder meer risico-inventarisaties. De risico’s die een ondernemer dankzij de nieuwe wet op zich afkrijgt maakt het trio met een heldere uitleg inzichtelijk.
Robert vertelt: ,,Het is belangrijk dat er grip wordt gekregen op data. We moeten vooral de voordelen zien van de AVG; de Europese wetgeving gaat uit van consumentenbescherming. Je moet er niet aan denken dat wij in Europa een Social Credit System krijgen zoals in China. Dan wordt bijvoorbeeld in jouw data gekeken of je foute vrienden hebt. Als dat zo is dan mag je bijvoorbeeld niet op afbetaling kopen. Dat is een moderne manier van communisme.”
Moshe Beukers vraagt aan de aanwezigen wie al ‘iets’ met de aankomende wet gedaan heeft. Aarzelend gaan er een paar vingers omhoog. Werk aan de winkel dus voor de ondernemers. Moshe waarschuwt: ,,De toezichthouder gaat steekproefsgewijs controleren.”
Dalila vertelt dat bijzondere persoonsgegevens zoals medische gegevens, strafrechtelijk verleden, seksuele voorkeur en ras nooit verwerkt mogen worden. Het begrip verwerken kan ruim genomen worden. ,,Onder verwerken wordt verstaan: het verzamelen, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, wissen en vernietigen van gegevens.”
Wanneer mag een ondernemer dan wel gegevens verwerken? Dat maakt het Consignium/Bres-team duidelijk met een dia waarvan de tekst door het geïnteresseerd publiek snel genoteerd wordt:
Alleen indien het doel gebaseerd is op één van de volgende zes grondslagen mogen gegevens verwerkt worden:
1.Toestemming
2. Noodzakelijk voor de uitvoering van overeenkomst
3. Wettelijke verplichting
4. Verwerking is noodzakelijk ter bescherming van vitale belangen
5. Noodzakelijk voor vervulling van een taak van algemeen belang of openbaar gezag
6. Ter behartiging van gerechtvaardigde belangen (directe marketing of voorkoming fraude).
Dalila: ,,Het is de verwachting dat vooral van grondslag 2, noodzakelijk voor de uitvoering van de overeenkomst, gebruik gemaakt wordt.”
Een verwerkingsovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke (de opdrachtgever) en de bewerker (de leverancier). Je wordt als verwerkingsverantwoordelijke aangemerkt wanneer je persoonsgegevens verwerkt. De bewerker is de organisatie die namens jou de persoonsgegevens verwerkt. Aan deze verwerkingsovereenkomst worden diverse eisen gesteld.
Moshe geeft tips: ,,Vraag hulp voor het opmaken van verwerkingsovereenkomsten! Laat je goed voorlichten! Schrijf en maak beleid zodat men zowel in- als extern weet hoe er met gegevens wordt omgegaan.”
Dalila vult aan: ,,Publiceer het privacy statement op je website! Verwijzingen in de algemene voorwaarden zijn onvoldoende.”
Consequenties voor een datalek kunnen groot zijn. Dalila: ,,Negen van de tien keer is een datalek het gevolg van een menselijke fout. Daarnaast zijn hackers op zoek naar lekken om bij bestanden te komen. Van belang is om te zorgen dat je organisatie goed beveiligd is. Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoongegevens, bovendien moet je alle datalekken intern registeren.”
De aanwezigen konden hun opgedane kennistoetsen in een Kahoot-quiz. De ondernemers waren wijzer geworden en realiseerden zich ook dat er voor 25 mei werk aan de winkel is. Consignium en Bres Advocaten kunnen daarbij helpen. Robert van Asch: ,, Wij hebben de kennis in huis om ondernemers te informeren en te adviseren om de AVG binnen hun onderneming op orde te krijgen.”
Tekst: Peter Beijer, www.woordvaardig.nl
Vooor de door Jaap van den Broek gemaakte foto's, klik hier.
Nieuwsoverzicht