Privacywetgeving AVG, wanneer ben je compliant?

Je wilt klanten benaderen maar je weet niet of dit mag vanwege de AVG-privacyregels. Aan de hand van 10 vragen bepaal jij welke acties je moet nemen om aan de wet te voldoen. Zo word jij AVG-compliant en voorkom je een boete.

Wet AVG

De privacywet Algemene Verordening Gegevensbescherming (AVG) geldt sinds 25 mei 2018 voor de Europese Unie. Internationaal heet de wet General Data Protection Regulation (GDPR). Door de AVG heb je als ondernemer verplichtingen bij het verwerken van persoonsgegevens. Jouw klanten, medewerkers en leveranciers moeten weten welke gegevens jij van ze hebt en kunnen voor zichzelf op komen als het gaat om de verwerking van hun gegevens. Je klant kan bijvoorbeeld inzage vragen in opgeslagen data, of een eerder gegeven toestemming intrekken.

Praktijkvoorbeeld

In onderstaande animatie wordt een onderdeel van de AVG uitgelegd en zie je hoe de wet goed wordt toegepast.

AVG: privacy en persoonsgegevens

Voor wie geldt de AVG?

De Europese privacywet geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers hebben te maken met privacygevoelige informatie, ook zzp'ers en kleine mkb’ers. De wet geldt ook voor de overheid, scholen, zorginstanties, verenigingen en stichtingen. Internationale bedrijven die zakendoen met de EU moeten zich eveneens houden aan de AVG.
De grootte, type werkzaamheden en diensten van je bedrijf bepalen welke AVG-maatregelen je moet nemen. Je krijgt er al mee te maken door het uitsturen van een offerte of nieuwsbrief. Of door het bijhouden van afspraken en contactgegevens van (toekomstige) klanten en medewerkers. Ook gegevens die met cookies gekoppeld zijn aan IP-adressen en volgsoftware zoals tracking vallen onder deze wet. Zelfs als je niet weet van wie gegevens zijn, moet je ze als privacygevoelige informatie behandelen.

In 10 stappen AVG-compliant

De Regelhulp AVG van de Autoriteit Persoonsgegevens (AP) helpt je bij het bepalen van de impact van de AVG op jouw bedrijf. Hierin staan onderstaande 10 vragen. Na het beantwoorden van deze vragen kun je direct aan de slag.

1. Welke persoonsgegevens verwerk je?

Inventariseer welke persoonsgegevens je verwerkt. Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die naar iemand te herleiden zijn, zoals naam, adres, telefoonnummer en burgerservicenummer.

Naast 'gewone' persoonsgegevens zijn er ook bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je voldoet aan een aantal strenge eisen.

2. Heb je een goede reden om persoonsgegevens te verwerken?

Je mag alleen persoonsgegevens verwerken wanneer je deze echt nodig hebt om je doel te bereiken en het niet anders kan. Je moet dus een goede reden, ofwel ‘grondslag’ hebben. Bijvoorbeeld dat je toestemming hebt van de persoon om wie het gaat. Er zijn zes grondslagen in de AVG.

3. Heb je een functionaris voor gegevensbescherming nodig?

In sommige organisaties is een functionaris gegevensbescherming verplicht. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris is verplicht bij:

  • Overheden en publieke organisaties.
  • Organisaties en bedrijven die vanuit hun kernactiviteiten op grote schaal individuen volgen. Denk aan cameratoezicht en monitoring van iemands gezondheid.
  • Organisaties en bedrijven die op grote schaal bijzondere persoonsgegevens verwerken en voor wie dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

4. Ben je verplicht om een data protection impact assessment uit te voeren?

Bij het verwerken van gegevens met een hoog privacyrisico is een data protection impact assessment ( DPIA) verplicht. Blijkt uit de analyse van de DPIA dat de risico's hoog zijn, dan moet je maatregelen nemen om deze te verkleinen. Een DPIA moet je in ieder geval uitvoeren als je:

  • Bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische – of biometrische gegevens op grote schaal verwerkt.
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.
  • Gegevens zo combineert, dat iemand in een bepaalde categorie of groep is in te delen en daardoor kan worden benaderd of beoordeeld. Dit heet profilering.

5. Werk je volgens de uitgangspunten van privacy by design en privacy by default?

Zorg dat je in de ontwerpfase van nieuwe producten of diensten persoonsgegevens goed beschermt. Dit wordt ‘privacy by design’ genoemd. Daarnaast moeten standaardinstellingen de privacy van iemand respecteren totdat de persoon zelf toestemming geeft. Dit wordt ‘privacy by default’ genoemd. Je mag bijvoorbeeld geen (web)formulier gebruiken waarop al een vakje is aangevinkt.

6. Moet je een register van verwerkingsactiviteiten opstellen?

In een verwerkingsregister beschrijf je welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze eventueel deelt. Je bent verplicht om met een register te werken als jouw organisatie:

  • Regelmatig persoonsgegevens verwerkt.
  • Bijzondere persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen.
  • Meer dan 250 medewerkers heeft.

Omdat klanten-, leveranciers- en personeelsbeheer vaak voorkomt zijn veel organisaties verplicht een verwerkingsregister bij te houden. Het verwerkingsregister is een overzicht van alle soorten persoonsgegevens die je verwerkt. Het register moet voldoen aan een aantal eisen. Je neemt onder meer op wat het doel van de gegevensverwerking is en hoe lang je de gegevens bewaart. Lees hier hoe je een verwerkingsregister AVG maakt.

7. Heb je de juiste maatregelen genomen om persoonsgegevens te beveiligen?

In de AVG staat dat je persoonsgegevens goed moet beveiligen. Bepaal welke technische en organisatorische maatregelen hiervoor nodig zijn. Zo zorg je voor een digitaal veilig bedrijf. Werk jij digitaal veilig? Dat kun je met deze checklist controleren.

8. Heb je de vereiste overeenkomsten met partijen die persoonsgegevens voor jou verwerken?

Zorg voor een goede verwerkersovereenkomst met de organisatie aan wie je gegevensverwerking uitbesteedt. Je moet als ondernemer zeker zijn dat ook zij veilig met jouw data omgaan.

9. Voldoe je aan de informatieplicht?

Maak een privacyverklaring in eenvoudige taal. Zet daarin wat je doet met persoonlijke gegevens, waar je ze voor gebruikt, hoe lang je ze bewaart en waarom dat belangrijk is. Zorg dat deze verklaring makkelijk te vinden is. Klanten hebben het recht te weten wat er met hun gegevens gebeurt. Jij hebt de plicht hen hierover te informeren.

10. Ben je voorbereid op mensen die hun privacyrechten willen uitoefenen?

Gebruikers, zoals je klanten, hebben zeggenschap over hun gegevens en wat jij daarmee doet. Een klant kan bijvoorbeeld inzage vragen in opgeslagen data of een eerder gegeven toestemming intrekken. Bereid je organisatie hierop voor. Klanten die denken dat hun persoonsgegevens niet volgens de privacywet worden verwerkt, kunnen een privacyklacht indienen bij AP. Als de klacht terecht is kun je een boete krijgen.

Heb je geen goede reden (meer) om persoonsgegevens te verwerken? Dan moet je deze verwijderen. De klant heeft namelijk recht op vergetelheid. Dat betekent dat de organisatie de klant 'vergeet'.

Tips

Aleid Wolfsen is voorzitter van AP, de organisatie die in Nederland toezicht houdt op de naleving van de AVG. Wolfsen geeft de volgende tip: “Gebruik je gezonde verstand. Vraag je altijd af: heb ik deze data echt nodig, en mag ik deze data zomaar gebruiken of moet ik toestemming vragen? Dan kom je al een heel eind met de vraag wat wel en niet mag.” 

Monique Verdier, vicevoorzitter van AP vult aan: “Ondernemers kunnen niet alles weten. Sluit je aan bij een branchevereniging. Ze hebben stappenplannen die je helpen om aan de basis te voldoen.”