De AVG, een enorm heet hangijzer op dit moment. Gaan we er wat over zeggen of laten we voor wat het is? Eigenlijk kunnen we er niet om heen om er iets over te zeggen…Maar wat?
Dat we het enorm lastig vinden dat onze mailboxen overstromen met allemaal berichten van bedrijven die de AVG moeten invoeren? Dat we ze eigenlijk direct maar deleten? Dat het een lastige materie is om zelf allemaal uit te vinden? Wie moet welke actie precies ondernemen? Wat zijn de consequenties? En dan ook nog het aanbod van allerlei AVGscans om jezelf AVGproof te maken. Uiteraard tegen betaling!
Wij merken dat we het uitzoeken, en dus het AVGproof zijn, voor ons uitschuiven. Het is gewoon niet makkelijk om in de drukte tijd te maken om zelf alles helemaal uit te gaan pluizen. En om er zeker van te zijn dat je alle zaken optimaal hebt ingedekt. Eerlijk gezegd wachten we gewoon op het moment dat er een soort “invuldocument” aangeleverd wordt en die gaan we dan netjes invullen. Zo! Klaar!
Helaas, dit is er nog niet (of wij hebben het niet gevonden) en de materie is redelijk complex, dus het zal er waarschijnlijk ook niet komen, daarvoor zijn ondernemingen te verschillend van elkaar en dus de informatieverzameling ook.
Wat hebben wij daarom gedaan.
Vooraf
Samen maak je zwaar werk leuk! Daarom hebben we samen een moment geprikt en onze agenda leeg gepland voor dit onderwerp. Gedurende de periode vooraf hebben we allemaal informatie verzameld die we op het geprikte tijdstip grondig door gaan nemen. Voorbereiding is key.
Aan de bak!
Op het geplande moment zijn we samen gaan zitten en hebben we een aantal stappen doorlopen.
Screenen documenten en processen
We hebben ons eigen proces doorlopen en gekeken welke privacygevoelige informatie we op welk moment verzamelen. Dit hebben we in een flowdiagram gezet. Je begint bijvoorbeeld bij het moment dat mensen je website bezoeken. Wat gebeurt er op dat moment qua privacygevoelige data verzamelen? Of op het moment dat iemand je mailt? Of wanneer iemand bij je in traject zit? Je loopt het proces van jouw onderneming door en checkt de interne (eigen medewerkers info) en externe (klanten) data welke je verzamelt.
Vervolgens hebben we de markers erbij gepakt en zijn de verzamelde informatie gaan screenen op punten waarvan wij denken dat deze vermeld moeten worden in een privacy policy. Het resultaat is een lijst met privacy gevoelige informatie, gemarkeerd en wel, in een duidelijke flow. Uiteraard zit er overlap in de verzamelde info, die filter je er uit.
Layout
Om de privacygevoelige informatie goed en duidelijk te kunnen weergeven in een Privacy Policy welke leesbaar is, hebben we de informatie die we van te voren verzameld hebben doorgespit op zoek naar voorbeelden van goede en duidelijke weergave mogelijkheden.
De privacygevoelige informatie hadden we al in een flowdiagram staan, gemarkeerd en wel, en aan de hand van deze flow hebben we per onderdeel/hokje een artikel gemaakt.
Opvolging
De basis staat nu. In de komende tijd zullen we vast nog zaken tegen gaan komen die we kunnen aanvullen of wijzigen. Daarom hebben we ook meteen een opvolgmoment ingepland om, wederom samen, “onze” AVG weer eens door te spitten en te bepalen of we deze nog vinden kloppen.
Mocht je onze privacy policy willen inkijken, dan kun je deze hier vinden.
En als we dit blog terug lezen, is het weer een stappenplan geworden. Dit keer een stappenplan om een stappenplan te maken.
Note: En dan… “Inmiddels heeft Minister Dekker voor Rechtsbescherming gezegd dat er met kleine bedrijven in het begin schappelijk zal worden omgegaan. Kleine bedrijven en ondernemers hoeven niet bang te zijn dat ze direct boetes gaan krijgen als ze de persoonlijke gegevens nog niet goed hebben beschermd. Maar ondernemers moeten dan wel aan kunnen tonen dat ze bezig zijn om alles op orde te krijgen conform de AVG.
Lees verder >>
Bron: Website ZZPNederland.
(Blog in samenwerking met Sanne Scheltena van Greendreamster )