Alle Europese organisaties, dus óók het schoonmaak- en glazenwasbedrijven, moeten persoonsgegevens zoals die van personeel en klanten, met passende maatregelen beschermen. Dit is een verplichting die rechtstreeks op u rust vanuit de Europese Privacy verordening, de Algemene Verordening Gegevensbescherming (AVG).
Door Hella Vercammen, redactielid Clean Totaal & Jurist The Legal Company B.V.
Beschermen waartegen?
U dient bijvoorbeeld uw werknemers en klanten te beschermen tegen onrechtmatige verwerkingen van hun gegevens. Persoonsgegevens worden o.a. gebruikt voor marketingdoeleinden of nieuwsbrieven waar u niet ze niet voor afgegeven heeft. Of tegen diefstal (hacks) waardoor met behulp van uw gegevens, bijvoorbeeld uw BSN-nummer, identiteitsfraude wordt gepleegd.
Wanneer?
Als MKB’er moet u vanaf 25 mei 2018 absolute veiligheid moet garanderen ten aanzien van persoonsgegevens op basis van de AVG. Daarbij moet u kunnen aantonen dat u alle AVG maatregelen heeft genomen die binnen uw mogelijkheden lagen. De allerbelangrijkste eerste stap die u dan moet nemen is een privacy nulmeting.
Wat verandert er vanaf 25 mei 2018 en hoe moet u dat nu oppakken?
Wijziging 1: handhaving & sancties
Onder de AVG kan de Autoriteit Persoonsgegevens (AP) gemakkelijker sancties opleggen:
- De AP heeft vergaande onderzoeksbevoegdheden.
- De AP kan een rapport van bevindingen publiceren met alle imagoschade van dien.
- Er kunnen boetes opgelegd worden tot wel € 20 miljoen per overtreding of (indien hoger) 4% van de wereldwijde jaarlijkse omzet.
Wijziging 2: accountability (verantwoordingsplicht)
Deze plicht houdt in dat u moet kunnen aantonen dat uw verwerkingen van persoonsgegevens aan de regels van de AVG voldoen. Dit betekent dat u het een en ander schriftelijk moet documenteren (de zogenoemde paper trail) Zo moet u als schoonmaakondernemer:
- Passende beschermingsmaatregelen nemen (ICT-technisch en organisatorisch).
- Een gegevensbeschermingsbeleid/privacy protocol hebben.
- Data protection by design / by default. Simpel gezegd houdt dit in dat er al bij de ontwikkeling van digitale producten en diensten (zoals personeels- en klanten applicaties) aandacht moet zijn voor privacy.
- Beschikken over een register van verwerkingsactiviteiten voor alle verwerkingen van persoonsgegevens.
- Het kan zijn dat u een Functionaris Gegevensverwerking (FG) moet aanstellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Dit is bijvoorbeeld verplicht voor organisatie die op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit is.
- In bepaalde situaties dient u een PIA (Privacy Impact Assessment) uit te voeren.
Verder moet u er ook zeker van zijn dat alle bedrijven die voor u persoonsgegevens verwerken, voldoende garanties bieden om de rechten van de o.a. werknemers en klanten te waarborgen. Denk bijvoorbeeld aan het administratiekantoor dat de salarisadministratie verzorgt of het bedrijf dat uw nieuwsbrieven verstuurd. Dit moet u vastleggen in een verwerkersovereenkomst. Die verwerkersovereenkomst moet voldoen aan eisen die in de AVG staan opgesomd.
Wijziging 3: nieuwe rechten van betrokkenen
Onder de AVG krijgen betrokkenen (persoon van wie de persoonsgegevens zijn) meer rechten, bijvoorbeeld:
- recht op transparantie;
- recht op informatie;
- recht op inzage en kopie;
- recht op rectificatie en het wissen van de gegevens;
- recht om te beperken hoe gegevens worden gebruikt;
- recht van bezwaar;
- recht om een klacht in te dienen bij de AP;
- recht om een doeltreffende voorziening in rechte in te stellen;
- collectief actierecht;
- recht op schadevergoeding.
Wat moet ik concreet doen?
Stappenplan privacy proof:
- Stel intern een privacy projectleider aan die de verantwoordelijkheid heeft om te zorgen dat uw bedrijf 100% AVG privacy proof wordt en blijft.
- Laat een externe nulmeting uitvoeren om na te gaan in hoeverre u al aan de AVG voldoet én wat u nog moet doen omdat te worden. Zodoende is helder welke concrete verbeteracties u nog moet ondernemen.
We raden aan om zo spoedig mogelijk een nulmeting te laten uitvoeren omdat hier veel uit naar voren kan komen. Bepaalde zaken kosten tijd om door te voeren en 25 mei 2018 komt al snel dichterbij. - Voer de acties uit die naar voren zijn gekomen uit de nulmeting.
- Laat iemand intern het privacy dossier continu beheren, bijvoorbeeld met behulp van een online privacy management portaal.
Privacy regels uit de schoonmaak cao 2017-2018
In de cao 2017-2018 zijn privacy regels toegevoegd, waarschijnlijk om te anticiperen op de AVG. Het is dus voor u als schoonmaakondernemer ook van belang om te weten dat:
- het verliezende schoonmaakbedrijf bij het versturen van de opgave van werknemers bij een contractwisseling aan het nieuwe schoonmaakbedrijf, het BSN nummer van werknemers onleesbaar maakt op de loonstroken;
- als een werknemer die bij contractwisseling een aanbod ontvangt van het nieuwe schoonmaakbedrijf conform artikel 38 cao én dit afwijst, moet het nieuwe schoonmaakbedrijf de ontvangen informatie van deze werknemer vernietigen.
Privacy proof zijn is een USP!
Privacy proof zijn is niet alleen bedoeld om te voldoen aan de wet en boetes te voorkomen. Het is ook steeds meer een reden voor klanten om hun diensten/producten bij u af te (blijven) nemen. Zie het daarom niet alleen als een wettelijke verplichting maar ook als een commerciële investering, een unique selling point (USP).
Als schoonmaakondernemer komt er met de AVG nogal wat verplichtingen op u af. Het beste is daarom om u bij te laten staan door een specialist op dit vlak. U voorkomt daarmee boetes en imagoschade én heeft een unique selling point die de doorslag kan geven bij een aanbesteding.
Externe numleting uitvoeren?
Een privacy nulmeting offerte aanvragen of andere vragen, bijvoorbeeld over de privacy portal van The Legal Company om het privacy dossier goed in te kunnen beheren? Bel 020-3450152 of mail naar hvercammen@thelegalcompany.nl of mijn privacy collega kreijnen@thelegalcompany.nl. U kunt ook een kijkje nemen op de nieuwe website: www.thelegalprivacycompany.com
