Jaja, 25 mei 2018, de tijd dringt. Dus today, it’s AVG voor mijn eigen bedrijf…
Want tja, je kunt wel leuk meedenken met je klanten over de benodigde stappen voor de nieuwe privacywet AVG, of fancy AVG-proof automations inrichten in ActiveCampaign, maar vervolgens je eigen AVG-acties keer op keer vooruit schuiven… not good. Uiteraard was ik als ‘structopaat’ al eerder begonnen, maar nu, nu pakken we door! Met de deadline van 25 mei hijgend in ons nek. Presteren onder druk noemen ze dat…. (ahum).
Dus.
- Men trekt een relaxed outfitje aan (joggingbroek met hangkruis en kek strijdlustig ’kleedje’, want voelen we ons kek en strijdlustig, werken we ook kek en strijdlustig).
- Gooit het haar ‘los’ (ja, dat kan tegenwoordig alweer een klein beetje).
- Geeft liefdevol aan de huisgenoot aan dat men zo min mogelijk ‘afgeleid’ wil worden (want daar is tijdens deze werkzaamheden niet zo heel veel voor nodig).
- Zet een ‘calm relaxing’, niet al te prikkelend muziekje op (lees: als ik iets lastig vind, of het lukt niet en ik hoor zeer indringende muziek… of een bromvlieg… dan wordt het lontje iets korter… ).
- Probeert de ‘aversie’ tegen deze werkzaamheden weg te slikken (begrijp me niet verkeerd, want de oorsprong en het doel van deze wet is natuurlijk heel goed én ik wil de privacy van de persoonsgegevens van mijn klanten en de klanten van mijn klanten heel goed waarborgen (!), maar “mén”, wat een stukken voor een ‘eenpitter’ die “gegevens verwerkt” voor vele anderen… En ik ben liever bezig met andere ondernemers te helpen in balans, gestructureerd en effectief te werken, in plaats van mij door maatwerk juridische stukken heen te worstelen. Maar als je A. een bedrijf wilt runnen, moet je B. ook ‘AVG-en’).
- Men zorgt voor een koel drankje en wat lekkers (yep… emotie-eter).
- Geeft de hond nog een meewarige aai over zijn bol (ja jongen, vandaag moet je je heil bij de ‘baas’ zoeken, het ‘vrouwtje’ heeft andere prioriteiten).
- Men schrijft er eerst nog even een blog over (in het kader van het uitstelgedrag).
- Men bijt zich vervolgens vast in de stukken.
- En knaagt door. En door.
Op MIJN AVG-to-do-list staat:
- risicoanalyse voor mijn eigen bedrijf maken en benodigde acties bepalen
- privacy en cookiestatement opstellen (check!) en duidelijk zichtbaar én downloadbaar op website plaatsen
- SSL-certificaat op website (https = al heel lang check!)
- een helder verwerkingsregister opstellen
- verwerkersovereenkomsten aanvragen bij leveranciers en overige partijen (ook online tools!) die namens mij persoonsgegevens verwerken
- een beveiligd document aanmaken voor eventuele toekomstige datalekken
- (waar nodig) ook voor onderstaande verwerkersovereenkomst een risico-analyse per opdrachtgever maken (een VA maakt namelijk per opdrachtgever vaak gebruik van verschillende tools)
- een sjabloon verwerkersovereenkomst opstellen, die vervolgens (maatwerk, oef) aangepast dient te worden voor elke afzonderlijke opdrachtgever waar ik -op mijn beurt als VA- weer persoonsgegevens voor verwerk (dat wordt hem dus niet vandaag… daar worden dus nog wat extra momenten voor ingepland)
- mijn overeenkomst van opdracht aanpassen, waarin vanaf nu ook wordt verwezen naar die maatwerk verwerkersovereenkomst (die ik hierboven noemde)
- eventuele (inschrijf- en contact)formulieren op de website AVG-proof maken zodat men expliciet toestemming geeft voor welke doeleinden ik deze persoonsgegevens mag gebruiken én de registratie hiervan goed inrichten in het e-mailmarketingsysteem
- dataminimalisatie en verwijdering van data waar mogelijk
- ik heb geen mailinglijst met non-AVG-proof-contacten, dus hoef geen consentmail te sturen om de genoemde expliciete toestemming alsnog te verkrijgen (nou zeg, hebben we daar toch een meevaller te pakken).
Two down, nog heel wat to go.
Go. Go. Go.
Knaag.