Vrijwel ieder bedrijf verwerkt persoons- en betaalgegevens van klanten. Onder de nieuwe AVG is het des te belangrijker dat je daar zorgvuldig mee omgaat. Wat kun je doen om klantgegevens goed te beschermen?
Het zal je niet zijn ontgaan: eind mei trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze Europese privacyverordening – die de Nederlandse Wet bescherming persoonsgegevens verving – geldt voor elke Nederlandse onderneming. De insteek van de AVG is dat bedrijven en organisaties zorgvuldig omgaan met klantgegevens.
Reputatieschade
Het grootste risico dat je loopt als je niet voldoet aan de AVG is uiteraard een datalek. De Autoriteit Persoonsgegevens (AP) controleert hier streng op. Met eventueel een hoge boete tot gevolg. Ook in commercieel opzicht is het belangrijk om persoons- en betaalgegevens goed te beveiligen. Komen dit soort gegevens onverhoopt op straat te liggen? Dan zorgt dat vaak voor flinke reputatieschade, met alle commerciële gevolgen van dien.
Aansprakelijkheid
Werk je samen met andere bedrijven en organisaties? Steeds vaker eisen (grotere) zakenpartners dat je als leverancier voldoet aan de AVG. Ben je niet compliant, dan kan het zijn dat contracten aan je neus voorbijgaan.
Ten slotte is het – zeker als je als toeleverancier samenwerkt met een groter bedrijf – vanuit het oogpunt van aansprakelijkheid belangrijk dat je voldoet aan de AVG. Krijgt je zakenpartner een boete opgelegd omdat jij niet voldoet? Dan kun je als samenwerkingspartner aansprakelijk worden gesteld.
Argumenten genoeg dus om werk te maken van een goede beveiliging van persoons- en betaalgegevens. Maar naast alle mogelijke negatieve gevolgen, is de belangrijkste reden om te voldoen aan de AVG uiteraard de integriteit van je bedrijf. Je wilt immers het klantvertrouwen niet beschamen en dus ga je zo netjes mogelijk met de gegevens van je klant om. Waar moet je op letten? Hier onder zijn een aantal tips onder elkaar gezet.
Vraag alleen wat je nodig hebt
Natuurlijk: adres, telefoonnummer en e-mailadres zijn vaak onmisbaar voor het goed en snel kunnen afhandelen van een bestelling. Maar hoe zit dat met bijvoorbeeld de geboortedatum of het geslacht van de klant? Uitgangspunt van de AVG is dat je gegevens alleen mag verwerken voor het doel waarvoor je ze hebt gekregen. Je mag deze gegevens dus alleen met een goede reden vragen. Leg bij het formulier waar de gegevens moeten worden ingevuld altijd uit waarvoor je deze persoonsgegevens nodig hebt. Daarnaast mag je de gegevens niet langer bewaren dan strikt noodzakelijk is. Welke termijn strikt noodzakelijk is, daarover wordt in de AVG geen uitspraak gedaan. Je moet als bedrijf dus zelf bepalen hoe lang je de persoonsgegevens bewaart, kijkend naar het doel waarover je ze verzamelt of gebruikt.
Stel klanten op de hoogte
Klanten van wie je persoons- en betaalgegevens verzamelt en verwerkt, moet je vooraf expliciet vertellen wat je met die gegevens doet. Dat kun je bijvoorbeeld doen door een privacystatement op je website te plaatsen en daar duidelijk naar te verwijzen. Helemaal top is het als je de link naar het privacystatement ook op iedere plek plaatst waar bezoekers persoonsgegevens moeten invullen.
Houd de wettelijke bewaartermijnen in de gaten
Heb je in beeld welke gegevens je verzamelt en verwerkt, en met welk doel je dat doet? Heb je goed in beeld hoe lang je de gegevens moet bewaren om je doel te bereiken? En heb je je klanten daarvan op de hoogte gesteld? Houd dan ook goed de wettelijke bewaarplicht in de gaten.
Sluit een verwerkersovereenkomst af
Werk je samen met een andere partij die ‘iets’ doet met de door jou verzamelde persoonsgegevens? Zoals het hostingbedrijf van je website, een salarisverwerker of een payment service provider (PSP)? Dan ben je verplicht om met deze derde partij een verwerkersovereenkomst af te sluiten. Daarin maken jullie onder meer afspraken over welke persoonsgegevens de derde partij precies verwerkt, voor welk doel, en met welke juridische grondslag. Daarnaast bevat een verwerkersovereenkomst informatie over de beveiliging van de gegevens en de bewaartermijn.
Neem technische beveiligingsmaatregelen
Heb je goed in kaart welke gegevens je moet verzamelen en hoe lang je ze mag bewaren? Zorg er dan voor dat je de gegevens díe je bewaart, goed beveiligd zijn. Je moet er immers niet aan denken dat criminele hackers er met bijvoorbeeld creditcardgegevens vandoor gaan. Of dat persoonlijke klantgegevens op straat komen te liggen. Zorg er daarom voor dat je een gelaagd securitysysteem hebt, waarbij verschillende maatregelen elkaar aanvullen.
Bron: MT, (foto) Unsplash