De AVG: Sla jij de gegevens van je klanten veilig op?

In mei 2018 was de ‘Algemene verordening gegevensbescherming’ – de AVG – een feit. Deze Europese regelgeving, ook wel bekend onder de Engelse naam ‘GDPR’ (General Data Protection Regulation) stelt dat iedere organisatie die gegevens verwerkt, moet voldoen aan de richtlijnen uit de AVG. Waarom is dat nodig? Omdat de EU, en ook Nederland, veel waarde hecht aan de bescherming van persoonsgegevens. Daarnaast worden tegenwoordig ontzettend veel gegevens over personen – zoals naam, adres, geboortedatum, maar ook BSN en bankrekeningnummers – digitaal opgeslagen. Fraude en misbruik liggen op de loer, maar ook gevaren van buitenaf, zoals hackers die gegevens stelen en hiermee identiteitsfraude (laten) plegen, zorgden voor de noodzaak om strenge wet- en regelgeving.

Wat moet jij doen om AVG-proof te zijn?

Vanaf mei 2018 is het dus verplicht om je te houden aan de AVG-regelgeving. Maar wat betekent dat nu concreet? Dat je zorgvuldig moet omgaan met de persoonsgegevens die je als organisatie verzameld en verwerkt. Dit geldt zowel voor de mensen op de werkvloer (zij moeten idealiter een geheimhoudingsverklaring ondertekend hebben en moeten zich bewust zijn van de regels omtrent het werken met persoonsgegevens), maar ook voor de IT-middelen die je gebruikt. Sla jij – net zoals bijna alle bedrijven – gegevens over je klanten of afnemers op in databases? En draaien die databases op bijvoorbeeld een (externe) server? Dan moet je kunnen aantonen dat je er alles aan gedaan hebt om die gegevens veilig op te slaan. En je mag ook niet meer gegevens bewaren dan puur noodzakelijk zijn voor je bedrijf. Heb jij bijvoorbeeld helemaal geen IBAN nodig van een klant? Dan mag je daar ook niet om vragen en mag je die al helemaal niet opslaan. Lap je de regels van de AVG aan je laars? Dat kan je dan duur komen te staan. Bij overtreding kun je rekenen op een omvangrijke geldboete.