De gevolgen van de Europese privacy verordening (AVG) voor het MKB.

beheer

De invoering van de AVG per 25 mei 2018 schept verplichtingen voor het MKB. Er worden immers bij het MKB uiteenlopende wijze persoonsgegevens verwerkt. De AVG eist dat uitsluitend persoonsgegevens mogen worden opgeslagen en verwerkt indien daarvoor een gerechtvaardigd doel is. Ook dient onderscheid te worden gemaakt tussen bijzondere persoonsgegevens (ras, geloof, politieke voorkeur, vakbondslid, BSN nummer, strafblad) en algemene persoonsgegevens (NAW, emailadres, IP).

 

De wetgeving dient personen meer bescherming te bieden. Het betreft een Europese wetgeving waarbij een aantal principes gelden. Het toepassen van deze principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening. 

Het MKB dient verwerkersovereenkomsten af te sluiten met externe partijen die (privacy) data kunnen inzien, opslaan of op enige wijze iets met de gegevens doet.

Om deze overeenkomsten af te sluiten, dient inzicht te zijn met welke partijen dit plaats moet vinden.  Denk aan salarisadministratie, accountant, arbodienst, ICT beheerder.

Het MKB dient inzichtelijk te maken hoe welke informatie (data) waar, en voor hoe lang in de administratiesystemen wordt opgeslagen. Ook dienen er technische en administratieve voorzieningen getroffen te zijn voor de beveiliging van gegevens. Op verzoek van betreffende persoon dienen gegevens over hem/haar opgevraagd en/of verwijderd te worden uit de bestanden.

Daarvoor dient te worden geïnventariseerd welke persoonsgegevens voor welk doel worden opgeslagen/verwerkt, waarbij ze naar aard en doel gerubriceerd worden. Voor zo’n verwerkingsregister zijn Excel sheets in omloop.
Juridisch zijn de volgende punten van belang:

 • wijs privacy officer/Functionaris Gegevensverwerking (FG) aan;
 • instrueer personeel over gebruik usb, wachtwoord, dropbox, google/Gmail etc.
  en laat medewerkers tekenen dat ze zich zullen houden aan de daarvoor
  beschikbare procedures, ook indien het fout gaat, bijv. bij verlies van data.
 • stel model verwerkingsovereenkomsten op t.b.v. externe actoren  van MKB.
 • stel privacy en cookie statement op t.b.v. website, Facebook, Twitter, Instagram.
 • zorg in opdrachtbevestiging dat klanten expliciet gewezen worden op gebruik
  van persoonsgegevens voor nieuwsbrief, seminars en dat ze daarvoor
  toestemming dienen te geven (via vinkje, in algemene voorwaarden die expliciet
  geaccepteerd dienen te worden of / ‘voor akkoord’ bij handtekening
  opdrachtbevestiging).
 • zorg voor systeem, waaruit blijkt dat niet- klanten expliciet akkoord gaan met
  mailing voor nieuwsbrieven, seminars.  Beheer zelf (email-)adressenbestand.
 • formuleer (en communiceer intern) een procedure meldplicht datalekken en Protocol bij datalek, incl. logging security incidenten.

Een tooolbox met juridisch maatregelgerichte acties kan door SBMadvocaten worden verzorgd en op maat worden gemaakt. Heeft u vragen, schroom dan niet om te bellen.