Persoonsgegevens op papier? De AVG-privacywetgeving geldt ook voor jou! Afgelopen weekend vloog ik op één dag heen en weer naar Londen. Effuh een dagje Londen, het is bizar om te beseffen dat je gewoon in 1 dag op en neer kunt naar Londen dan ook nog tijd hebt om een museum te bezoeken, Buckingham palace te bekijken en kadootjes voor de achterblijvers te kopen. En voor mij was het een prima manier om weer wat vliegervaring op te doen voor Japan later dit jaar.

Wat me ook opviel was de enorme hoeveelheid persoonsgegevens die daarbij verzamelt wordt. Van bizarre hightech self service scan poortjes voor de douane om je paspoort en je foto te verzamelen tot handmatige stempels en krabbels. Ik denk zomaar dat mijn naam, adres, leeftijd en nationaliteit wel 20 keer zijn genoteerd. Wat moet zo’n vluchthaven wel niet bakken aan persoonsgegevens verzamelen.

Ongeacht de manier en hoeveelheid data geldt de AVG

Voor dit soort bedrijven is de AVG-privacywetgeving een ware nachtmerrie. Gelukkig hebben ze veel geautomatiseerd. Maar toch, het blijft een enorme hoeveelheid werk voor ze. Om nog maar te zwijgen over de gegevens die ze handmatig vastleggen. Maar er zijn meer bedrijven die persoonsgegevens handmatig vastleggen, verwerken en gebruiken.

Zó sprak ik van de week Wilma Bonnema van Kapsalon Wilma uit Nijland in Friesland. Wilma zorgt goed voor haar klanten en wil dat ook doen met hun gegevens. Omdat Wilma de gegevens die zij heeft van haar klanten goed wil beschermen, nam ze contact met mij op , want ze had een unieke uitdaging.

Wilma gebruikt in haar kapsalon geen digitale verwerking. Ze gebruikt geen computer voor haar klantenbestand en doet die zaken op papier. Dat vraagt extra tijd omdat bepaalde processen niet te automatiseren zijn  en biedt één specifieke uitdaging. Hoe ga je in dat geval om met de nieuwe AVG-privacywetgeving?

Geldt de AVG-privacywetgeving ook voor mij?

Ze stelde me daarom deze vraag; “Ik werk helemaal op papier met een papieren kaartenbak die op mijn bureau staat. Geldt de AVG-wetgeving dan ook voor mij en hoe ga ik daar dan mee om? Wilma had mijn stappenplan al gekocht maar vroeg zich af hoe ze het stappenplan kan gebruiken aangezien ze dus een papieren kaartenbak heeft met de gegevens van haar klanten.

Ik was blij met deze vraag. Want enerzijds betekende het dat Wilma bezorgt is om de veiligheid van de gegevens van haar klanten. Anderzijds geeft het mij de mogelijkheid om de AVG-privacywetgeving vanuit een andere invalshoek te bespreken.

De AVG-wetgeving en werken op papier

Ik begreep heel goed hoe het stappenplan in eerste instantie niet leek aan te sluiten bij Wilma’s specifieke situatie. Toch heeft ook Wilma te maken met de AVG privacywetgeving waar ook de verschillende stappen in het plan op van toepassing zijn. Dus werk jij ook op papier met een fysieke kaartenbak met klantgegevens, lees dan vooral verder want de AVG-privacywetgeving geldt ook voor jou!

Ook al werk je op papier, toch verzamel je persoonsgegevens en dus valt jouw bedrijf onder AVG-wetgeving. De verschillende stappen over welke persoonsgegevens je verwerkt, wat je bewaartermijn is bijvoorbeeld en hoe je omgaat met datalekken, ook al is dat op papier, gelden daarom ook in jouw situatie. Alles wat er in die stappen in het stappenplan staat geldt ook voor jouw bedrijf. Je vindt het stappenplan trouwens hier.

Extra maatregelen waar je misschien niet meteen bij stilstaat

Het grote verschil tussen Wilma’s situatie en vele andere bedrijven is de manier waarop persoonsgegevens worden verwerkt. Waar de één alles doet met de computer en systemen die al het werk automatiseren, werkt de ander volledig of deels op papier. In beide gevallen verwerk je persoonsgegevens en dus moet voldoen aan de AVG-wetgeving.

In jouw geval, bij een papieren verwerking, kan er sprake zijn van een datalek als er bijvoorbeeld ingebroken wordt, en de inbreker de kaartenbak meeneemt. Je mag deze gegevens (lees je kaartenbak) ook niet onbeheerd (lees niet achter slot en grendel) achterlaten.

De buurvrouw, de plantjes en vakantie

Er zijn situaties waarin werken op papier misschien juist wel meer van je vraagt als bedrijf. Iets minder heftig voorbeeld van een datalek, maar iets wat toch kan voorkomen, is de volgende. Bijvoorbeeld de situatie waarin de buurvrouw bij jouw de plantjes water komt geven omdat je een weekendje weg bent. Je mag dan je kaartenbak onder de nieuwe AVG-wetgeving, niet zomaar in de kamer voor het grijpen hebben staan.

Ook als bijvoorbeeld in jouw werkkamer een plant die water nodig heeft. In dat geval mag je buurvrouw, schoonmaakster, huiswerkbegeleider of wie dan ook, niet zomaar jouw kaartenbak en de kaartjes met informatie kunnen bekijken. Die moet dus achter slot en grendel opgeborgen zijn als je er niet mee bezig bent én dat moet je beschreven hebben.

Bewijs dat je goed voor de gegevens zorgt

Je hebt in jouw geval daarom geen bewijs nodig dat je de boel digitaal goed beveiligd hebt, maar wel bewijs dat de je boel analoog (papier, kluisje, niemand hij de sleutel behalve jij, enzovoorts) goed hebt beveiligd. Niemand behalve jij, of diegenen die je in de documentatie hebt beschreven, mag dus bij jouw kaartenbak. Of die nu digitaal of op papier is.

Naar alle waarschijnlijkheid maak je ook gebruik van een accountant voor je btw aangifte en/of jaarafsluiting en -rekening. Met die accountant moet je dan wettelijk een verwerkersovereenkomst afsluiten. Onlangs heb ik trouwens nog zo’n overeenkomst nog nagezonden aan mensen die het stappenplan hadden gekocht.

De AVG-wetgeving geldt ook voor jou

De AVG-wetgeving geldt ook voor jouw en misschien moet je juist nog wel extra maatregelen treffen. Je beschrijft net als in een digitale (computer) situatie welke gegevens je verwerkt, met wie je die deelt, op welke wijze en met welk doel. Als je een kasboek bijhoudt en je schrijft daar namen in, dan beschrijf je dat ook in je AVG verklaring op.

Ook de privacyverklaring (een voorbeeld met link staat in het stappenplan) kun je op papier zetten en bijvoorbeeld meegeven aan je klanten. Eigenlijk doe je dus alles wat anders misschien met de computer gaat, op papier. Er zit in die zin geen verschil in hoe je de zaken moet beveiligen waar het gaat om privacygevoelige informatie.

Al met al kun je het stappenplan dus zeker inzetten voor jouw papieren situatie. Wat hooguit verschilt is de manier waarop je persoonsgegevens verwerkt. Zolang je dat maar goed beschrijft, wat je verwerkt, hoe je dat doet en op welke manier, ben je al een heel eind op de goede weg.

Dus of je nou digitaal of op papier werkt, je ontkomt niet aan de nieuwe AVG-privacywetgeving. In beide gevallen ben je wettelijk verplicht te beschrijven welke gegevens je verwerkt en hoe je dat doet. Ook afspraken met derden zijn van belang en ook een papieren gegevensverwerking kan een datalek bevatten

Heel veel succes met jouw AVG acties,

Michael

PS: Weet je niet wat je precies moet doen? Haal dan via deze link mijn AVG stappenplan op waarin precies staat wat er van je verwacht wordt.

PS2 : Zie je op tegen het werk en kun je wel een helpende hand gebruiken, neem dan contact met me op voor een AVG-Vipdag. Ik vertel je dan hoe je na afloop helemaal rond bent en alles rond de AVG op orde hebt.