Het leed dat AVG heet… of toch niet?
We krijgen er allemaal mee te maken. Is het niet als ondernemer dan toch zeker als klant.
Je staat er eigenlijk misschien niet zo bij stil maar iedere ondernemer verwerkt persoonsgegevens. Al is het alleen maar omdat je een factuur maakt en daarbij NAW-gegevens nodig hebt. Dus kan je nagaan wat je als coach allemaal aan gegevens te verwerken krijgt.
Als coach is de kans groot dat je te maken krijgt met de verwerking van bijzondere persoonsgegevens, bijvoorbeeld over de gezondheid van je cliënten of gegevens van minderjarigen.
Als ik naar ons bedrijf kijk, hebben we daar zeker mee te maken: we begeleiden veel mensen met PTSS / trauma’s. Tijdens de intake komen al een aantal zaken ter sprake. We leggen niet alles vast, alleen dat wat van belang is voor het te volgen traject en alleen voor eigen gebruik. Verder werken wij met een verslag van de sessie. Daar staan soms ook wel bijzondere persoonsgegevens in.
Daarnaast maken we soms gebruik van testen. De uitslagen daarvan leggen we vast in het dossier van de cliënt.
Vanaf 25 mei 2018 gaat de nieuwe wet Algemene Verordening Gegevensbescherming (AVG) in. De NOBCO zegt daarover op haar site o.a.: De AVG bevat regels voor het (automatisch) verwerken van persoonsgegevens. Deze nieuwe Europese privacywet dwingt je als ondernemer tot meer actie en maatregelen wanneer je gegevens over klanten, personeel of andere personen vastlegt. Al bij het versturen van een offerte, factuur of een nieuwsbrief moet je rekening houden met de wet. Bereid je daarom goed voor. Zo voorkom je straks dat de Autoriteit Persoonsgegevens (AP) je een flinke boete oplegt.
Dus… Aan de slag ermee.
Een goede voorbereiding, nou ja, dat is wat makkelijker gezegd dan gedaan. Er is zoveel informatie over de nieuwe AVG. Wat moet je doen, hoe leg je alles vast. En er wordt hierover ook zoveel geplaatst op social media dat je soms door de bomen het bos niet meer ziet.
Hierbij een verslag van onze zoektocht. Vooraf: het is geen volledige opsomming geworden.
Eerst voelde ik weerstand bij mezelf. Hoezo moet de gegevensverwerking vastgelegd worden? Het is toch logisch dat we daar heel zorgvuldig en integer mee omgaan? Om dan later te bedenken: ja voor ons is dat zo. Het is goed dat mensen dat ook terug kunnen lezen en iets hebben om op terug te vallen. Voor het geval er iets toch niet goed gaat. Gelukkig ben ik al een heel eind op weg.
Ik ben begonnen bij het begin: het opstellen van een privacyverklaring. Daar zijn een aantal voorbeelden van te vinden op internet. Veelal is het een invuloefening waarbij je de verklaring later zelf moet / kan aanvullen. Dat lijkt ook eenvoudiger dan het is. Bijvoorbeeld hoe lang moet / mag je de gegevens bewaren. Wat is wenselijk vanuit oogpunt van de cliënt maar ook vanuit jezelf. Stel dat er jaren na een traject nog een vraag, of erger een klacht, komt, kun je dan nog iets reproduceren. Fijn als je dan de gegevens nog terug kan halen. Ook voor de bewaartermijnen zijn richtlijnen.
Daarnaast moet je nog een privacybeleid opstellen en, indien van toepassing, een FG (Functionaris voor de gegevensbescherming) aanstellen. De voorwaarden alleen al waar het privacybeleid aan moet voldoen…
Er is heel veel informatie te vinden via https://autoriteitpersoonsgegevens.nl maar dan nog.
Dan ben je er nog niet. Er moet ook nog een register van verwerkingsactiviteiten worden opgesteld. Hier zijn wel voorbeelden van te vinden. Bijvoorbeeld van het NOBCO. Als je daar bij bent aangesloten kan je die gebruiken. Misschien nog iets aanpassen voor je eigen bedrijf.
Als ik het zo terug lees, is het best veel en veel administratief gedoe. Over het algemeen hou ik daar niet zo van. Ik ben liever bezig met het coachen, het begeleiden van mensen.
Aan de andere kant: het is een heel mooi moment om eens goed te kijken naar de eigen administratieve processen en verwerking van gegevens. Is het misschien nu de tijd om zaken anders te organiseren? Wat extra beveiliging toe te voegen, processen onder de loep te nemen.
Hé eigenlijk is het stiekem best leuk… Je kijkt met andere (cliënt) ogen naar je eigen bedrijf. Hoe zou je het vinden om daar je gegevens achter te laten, heb je daar vertrouwen in? Als het antwoord ja is, dan weet je dat je op de goede weg bent.
Wat een mooie leerweg, dankzij het invoeren van de AVG!