PromZ Magazine 1-2018

z 2018 - nummer 1 - www.promz.nl 61 8 H et is een misverstand om te veronderstellen dat de AVG en privacywetgeving alleen van toepassing zou zijn wanneer u persoonsgegevens van consumenten zou vastleggen . Denk bijvoorbeeld aan gegevens die uw account- managers hebben vastgelegd over de persoonlijke hobby’s, huwelijkse staat, verjaardagen etc van uw klanten. Dat zijn ook persoonsgegevens die vallen onder de werking van de wet- en regelgeving. Maar denkt u ook aan de persoonsgegevens van uw personeel of de persoonsgegevens van freelancers die u inhuurt, ook dat valt onder deze wetgeving. Kortom u heeft eerder persoonsgegevens in uw bezit dan u denkt. Denkt u ook aan het uitbesteden bij een salarisbureau van de salarisadmi- nistratie van uw bedrijf, ook relevant voor de toepassing van de huidige wetgeving en de AVG met ingang van 25 mei 2018. Bij het invoeren van de AVG binnen uw organisatie (zowel aan de personeelskant als aan de accountmanagerskant met CRM- systemen met gegevens van klanten) kunt u het onderstaand stappenplan gebruiken: 1 Bewustwording Informeer directie en management over de aankomende veran- deringen. Zij zullen moeten inschatten welke gevolgen de AVG heeft voor de organisatie. 2 Inventarisatie Zorg er voor dat je weet welke persoonsgegevens de organisatie heeft, waar de gegevens vandaan komen (rechtstreeks van de betrokkene of op een andere wijze) en met welke partijen de gegevens zijn gedeeld. Per 25 mei 2018 wordt de ‘Algemene Verordening Gegevensbescherming’, de nieuwe pri- vacy-wetgeving, van kracht. Wellicht heeft u vaak gedacht ‘ik leg helemaal geen persoons- gegevens vast van consumenten’. Maar pas op voor denkfouten. Werk aan de winkel! TEKST: MR ALEXANDER SINGEWALD De nieuwe privacywetgeving 3 Register Maak een register van alle soorten verwerkingen zoals die voor klanten, personeel, camerasystemen, debiteuren en crediteuren. Hoewel het verwerkingsregister niet voor alle orga- nisaties verplicht is, kan deze wel ondersteuning bieden voor de verantwoordingsplicht. 4 Verantwoording Dit betekent onderbouwen en documenteren waarom een gege- vensverwerking nodig is, voor welke doeleinden. Dat u een CRM systeem heeft voor verkoop dat zal duidelijk zijn en is eenvoudig te onderbouwen. 5 Communicatie Controleer of de bestaande privacy statements, orderformulieren (online en offline) voldoen aan de inhoudelijke eisen uit de AVG. Zoals artikel 13: U moet vertellen wie u bent als u persoons- gegevens verwerkt, voor welke doeleinden, wat de grondslag is om te verwerken (bijvoorbeeld een contract of een gerecht- vaardigd belang), aan welke derde u gegevens verstrekt. Verder dat men als betrokkene wettelijke rechten heeft zoals recht op inzage, correctie, recht om te blokkeren, recht van vergetelheid en dataportabiliteit. 6 Wettelijke grondslag Zowel in de communicatie naar betrokkene als bij een inzagever- zoek, dient de organisatie aan te geven voor welke doeleinden zij gegevens verwerken en op welke grondslag. Organisaties dienen dus voor alle gegevensverwerkingen de doeleinden en de grondslag te documenteren. Indien verwerkt wordt op FOTO: iStock