Je hebt het vast al voorbij zien komen. Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) in werking. Daarmee komt een nieuw en duidelijk Europees kader dat bedrijven verplicht werk te maken van de bescherming van hun persoonsgegevens of data. Maar welke impact heeft dat op jouw salon?
Ieder bedrijf beschikt over persoonsgegevens. Denk maar aan de gegevens van je klanten, medewerkers, leveranciers… Die gegevens moeten goed worden beschermd en dit wordt in een wet gegoten die op 25 mei van kracht gaat. Voldoe je niet aan de nodige richtlijnen voor het beschermen van die gegevens, dan kunnen boetes volgen tot 4% van je jaaromzet.
Een aantal dingen waar je aan moet voldoen:
Leg een dataregister aan.
Bij controle zal je een dataregister moeten voorleggen. In een dataregister maak je een overzicht van de persoonsgegevens die je verwerkt en bepaal je ook waar ze vandaan komen en met wie ze gedeeld worden. Dat register moet te allen tijde een accuraat overzicht geven. Beperk ook de verzameling van gegevens tot het hoogst nodige.
Toestemming vragen
Evalueer de manier waarop je toestemming vraagt om persoonsgegevens te verkrijgen. Iemand laten inschrijven voor een nieuwsbrief door een vooraf aangevinkt vakje mag niet meer. De toestemming moet blijken uit een duidelijke handeling.
Communiceer over privacy
Het privacy statement (bijvoorbeeld op je website) moet voldoen aan bepaalde richtlijnen. Ten eerste moet het in eenvoudige, begrijpbare taal geschreven zijn. Je vermeld de identiteit van de verwerker (jouw salon, je naam, en je gegevens) en vertelt de wijze waarop je de gegevens gebruikt. En ook:
- Waarom mag je deze gegevens verwerken?
- Hoe lang ga je ze bijhouden?
- Hoe kunnen personen hun gegevens laten aanpassen of verwijderen (recht om vergeten te worden)
- Worden ze uitgewisseld buiten de Europese Unie?
- Hoe kan iemand klacht indienen bij de Privacycommissie?
Datalekken verplicht melden
Vanaf 25 mei zal je ook verplicht zijn om eventuele datalekken die de betrokkenen schade kunnen toebrengen te melden bij de privacycommissie.
Het hoeft niet gezegd te worden dat je al het mogelijke moet doen om je gegevens te beschermen. Ook dit moet je documenteren in het dataregister.
Controleer je datastromen naar niet-EU-landen
Als je data verwerkt of doorgeeft buiten de EU (bv. gegevens die op een (cloud-)server in de US staan), zal je moeten nagaan of dat land over eenzelfde soort van privacywetgeving beschikt als in de EU het geval is. Vraag bij je salonsoftwarebeheerder aan hoe zij dit voor je aanpakken.
Wil je een compleet overzicht? Check dan dit stappenplan van de privacycommissie.
Vergeet de template voor het dataregister niet te downloaden.
Veel succes,
Vicky
3 reacties
Dag Vicky,
Ik heb pas uw tip over de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).
Ik heb ongeveer 60 emails van mijn klanten, deels met persoonlijke gegevens en de andere gewoon hun emails. Om mijn nieuwsbrief te sturen gebruik ik weebly promote. Ik heb foto’s van mijn klanten voor pedicure op mijn website gebruikt. (met toestemming van mijn klanten). Ik gebruik excel voor mijn klantenbestand.
Ik weet echt niet waar moet ik er beginnen 🙁
Met vriendelijke groeten,
Rowena
Hey Rowena,
Begin als eerste met je dataregister. In een excel of word bestandje beschrijf je waar je de gegevens vandaan hebt gehaald, wat je juist verzameld en waarvoor je die gegevens gebruikt. Stapje twee is zeker een privacyverklaring op je website te plaatsen waar je aan je klanten verteld wat je met hun gegevens doet etc.
Eigenlijk stapje voor stapje goed nadenken over de punten in dit artikel.
Succes,
Vicky
Dank je wel.