Wetten en regels

Privacywetgeving AVG, wanneer ben je compliant?

Je wilt klanten benaderen maar je weet niet of dit mag vanwege de AVG-privacyregels. Het is inmiddels 3 jaar geleden dat de privacywet Algemene Verordening Gegevensbescherming (AVG) in werking trad. Maar 3 jaar na dato blijkt dat de meeste Nederlandse bedrijven nog altijd niet voldoen aan de AVG. Aan de hand van 10 vragen bepaal jij welke acties je moet nemen om aan de wet te voldoen. Zo word jij AVG-compliant en voorkom je een boete.

Wat mag wel en wat mag niet binnen de AVG regels? Je wilt een boete voorkomen en je niet beperkt voelen in je bedrijfsvoering. Hoe voldoe je aan de regels, ook wel 'compliant zijn' genoemd? Beantwoord 10 vragen en ga direct aan de slag met de actiepunten.

Wet AVG

De privacywet Algemene Verordening Gegevensbescherming (AVG) geldt sinds 25 mei 2018 voor de hele Europese Unie. Internationaal heet de wet General Data Protection Regulation (GDPR). Door de AVG heb je meer verplichtingen bij het verwerken van persoonsgegevens dan voorheen. Privacyrechten zijn met de AVG versterkt en uitgebreid. Gebruikers (zoals je klanten) hebben met de AVG meer mogelijkheden om voor zichzelf op te komen als het gaat om de verwerking van hun gegevens. Zij hebben meer zeggenschap over hun gegevens en wat bedrijven daar mee doen. Je klant kan bijvoorbeeld inzage vragen in opgeslagen data, of verleende toestemming intrekken. In onderstaand praktijkvoorbeeld zie je hoe de AVG werkt.

Praktijkvoorbeeld

Susan is net een webshop gestart. Haar site, inventaris en logistiek heeft ze al op orde. Maar hoe zit het met de privacy en persoonsgegevens van haar klanten? In onderstaande animatie wordt 1 specifiek onderdeel van de AVG belicht vanuit een herkenbare ondernemerssituatie, zodat je meteen ziet hoe je de wet op de juiste manier kunt toepassen.

Deze video kun je alleen afspelen als je cookies hebt geaccepteerd. Wijzig je cookieinstellingen en ververs (F5) vervolgens deze pagina, zodat je de video kunt bekijken.

Je kunt jouw voorkeuren wijzigen op http://www.kvk.nl/cookies.

Voor wie geldt de AVG?

De Europese privacywet GDPR geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers hebben te maken met privacygevoelige informatie, ook zzp'ers en klein mkb. De wet geldt ook voor scholen, zorginstanties, verenigingen en stichtingen. Internationale bedrijven die zakendoen met de EU moeten zich houden aan de AVG.

De omvang van je bedrijf en de aard van de activiteiten bepalen welke AVG-maatregelen je neemt. Je krijgt er al mee te maken door het uitsturen van een offerte, factuur, en (digitale) nieuwsbrief. Of door het bijhouden van afspraken met klanten, contactgegevens van klanten of personeelsinformatie. Daarnaast vallen ook gegevens gekoppeld aan IP-adressen, cookies en een e-mailadres onder de wet. Ook als je niet weet wie er schuilgaat achter deze gegevens moet je ze als privacygevoelige informatie behandelen.

Als je vindt dat je klant koning is, moet je zijn data ook op die manier behandelen

In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Aleid Wolfsen, voorzitter van de AP: “AVG is weliswaar ingewikkelde materie, maar gebruik ook je gezond verstand. Heb ik deze data echt nodig? En mag ik deze data zomaar gebruiken of moet ik om toestemming vragen? Dan kom je al een heel eind met de vraag wat wel en niet mag.”

De belangrijkste knelpunten na 3 jaar AVG

Monique Verdier, vicevoorzitter en lid van het bestuur van AP ziet positieve ontwikkelingen sinds de invoering van de wet op 25 mei 2018. “Na 3 jaar zit de AVG wel tussen de oren; mensen weten dat het bestaat en dat ze er iets mee moeten”. Volgens Verdier gaat het bij ondernemers vooral mis bij het recht op vergetelheid, en dan in het bijzonder inzage- en verwijderverzoeken van klanten. “Vaak wordt daar niet of slecht op gereageerd, terwijl dat heel eenvoudig zou kunnen zijn, als je het verwerkingsregister goed bijhoudt.” Verdier begrijpt ook wel dat het wellicht even schakelen is voor ondernemers: “Je bent immers ondernemer geworden om niet in dat keurslijf te moeten. Dan is het lastig om te omarmen wat er wetmatig verplicht is.” Daarom tipt Verdier ook om het niet te zien als een verplichting, maar te focussen op ‘waar doe ik het nu echt voor?’. “Daar komt een intrinsieke motivatie bij kijken om je klanten zo goed en zorgvuldig mogelijk van dienst te zijn.”

Ook benadrukt Verdier dat je als ondernemer nu eenmaal niet alles kunt weten. Het is dus belangrijk om hulp te zoeken, en die is er volop. “Sluit je aan bij een branchevereniging, dat levert echt wat op. Ze hebben mooie stappenplannen, waarmee je kunt zorgen dat je aan de basis voldoet. Maak ook een goede risicoanalyse aan de voorkant, bijvoorbeeld met een Data Protection Impact Assessment (DPIA). Zorg dat je privacy in alles wat je doet integreert, dan wordt het haast een tweede natuur. Dat noemen we privacy by design, maar dat gaat verder dan het ontwerp van je producten, diensten en processen. Ook in je denkproces zou het een integraal deel moeten vormen.”

In 10 stappen AVG-compliant

Wat moet je doen om te voldoen aan de eisen van de AVG? Dit verschilt van bedrijf tot bedrijf. Begin met het inventariseren van de data die je hebt. Je moet je afvragen op welke grond je deze data hebt. Wolfsen: “In deze data gedreven wereld is het niet meer dan normaal dat je ook voor gegevens een boekhouding bijhoudt, een databoekhouding.” Het gaat hier om het bijhouden van welke persoonsgegevens je gebruikt van je klanten en waarvoor je persoonsgegevens verwerkt. Bijvoorbeeld als je je afspraken vastlegt en hierbij telefoonnummers en persoonsgegevens noteert.

De Regelhulp AVG van de AP helpt je bij het bepalen van de impact van de AVG op jouw bedrijf. Hierin staan onderstaande 10 vragen. Na het beantwoorden van deze vragen kun je direct aan de slag.

1. Welke persoonsgegevens verwerk je?

Inventariseer welke persoonsgegevens je verwerkt. Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die naar iemand te herleiden zijn, zoals naam, adres, telefoonnummer en burgerservicenummer.

Naast 'gewone' persoonsgegevens zijn er ook bijzondere persoonsgegevens. Deze gaan onder meer over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je een wettelijke uitzondering hebt.

2. Heb je een grondslag om persoonsgegevens te verwerken?

Je mag alleen persoonsgegevens verwerken wanneer je deze echt nodig hebt om je doel te bereiken en het niet anders kan. Je moet dus een goede reden, ofwel ‘grondslag’ hebben. Bijvoorbeeld dat je toestemming hebt van de persoon om wie het gaat. Of omdat het noodzakelijk is om een overeenkomst uit te voeren. Er zijn 6 grondslagen in de AVG.

3. Heb je een functionaris voor gegevensbescherming nodig?

Sommige organisaties moeten een functionaris voor de gegevensbescherming aanstellen. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris is verplicht bij:

  • Overheden en publieke organisaties.
  • Organisaties en bedrijven die vanuit hun kernactiviteiten op grote schaal individuen volgen. Denk hierbij aan cameratoezicht en monitoring van iemands gezondheid via wearables.
  • Organisaties en bedrijven die op grote schaal bijzondere persoonsgegevens verwerken en voor wie dit een kernactiviteit is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijke verleden.

4. Ben je verplicht om een data protection impact assessment uit te voeren?

Bij het verwerken van gegevens met een hoog privacyrisico is een data protection impact assessment (DPIA) verplicht. Blijkt uit de analyse dat de privacyrisico’s hoog zijn, dan kun je maatregelen nemen om deze te verkleinen. Een DPIA moet je in ieder geval uitvoeren als je:

  • Bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische – of biometrische gegevens op grote schaal verwerkt.
  • Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.
  • Gegevens zo combineert, dat iemand in een bepaalde categorie of groep is in te delen en daardoor kan worden benaderd of beoordeeld (profilering).

5. Werk je volgens de uitgangspunten van privacy by design en privacy by default?

Zorg ervoor dat je in de ontwerpfase van nieuwe producten of diensten persoonsgegevens goed beschermt. Dit wordt ook wel ‘privacy by design’ genoemd. Daarnaast moeten de standaardinstellingen de privacy van iemand respecteren (privacy by default) totdat de persoon zelf toestemming geeft. Je mag bijvoorbeeld geen (web)formulier gebruiken waarop al een vakje is aangevinkt.

6. Moet je een register van verwerkingsactiviteiten opstellen?

In een verwerkingsregister neem je op welke persoonsgegevens je gebruikt, voor welk doel, waar je ze opslaat en met wie je ze eventueel deelt. Je bent verplicht om met een register te werken als jouw organisatie:

  • Persoonsgegevens verwerkt waarvan de verwerking meer dan incidenteel is.
  • Risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen.
  • Meer dan 250 medewerkers heeft.

In de praktijk zullen (vrijwel) alle organisaties verplicht zijn zo’n verwerkingsregister AVG bij te houden. Dit komt omdat binnen een organisatie vaak klanten-, leveranciers- of personeelsbeheer voorkomt. Als mensen je vragen hun gegevens te corrigeren of te verwijderen kun je dit register nodig hebben. Geef deze verzoeken ook door aan de organisaties waarmee je de persoonsgegevens hebt gedeeld.

Heb je geen goede reden (meer) om persoonsgegevens te verwerken? Dan is het belangrijk dat je gegevens van de klant wist. De klant heeft namelijk recht op vergetelheid, dus dat de organisatie de klant ‘vergeet’.

7. Heb je de juiste maatregelen genomen om persoonsgegevens te beveiligen?

In de AVG staat dat je persoonsgegevens goed moet beveiligen. Bepaal welke technische en organisatorische maatregelen nodig zijn om ervoor te zorgen dat de verwerkingen goed beveiligd zijn. Zo zorg je voor een digitaal veilig bedrijf.

8. Heb je de vereiste overeenkomsten met partijen die persoonsgegevens voor jou verwerken?

Zorg voor een goede verwerkersovereenkomst met de partij aan wie de gegevensverwerking is uitbesteed. Je moet als ondernemer zeker zijn dat de data die gebruikt wordt veilig is.

9. Voldoe je aan de informatieplicht?

Je klanten hebben veel rechten op het gebied van privacy. Zorg ervoor dat zij gemakkelijk van die rechten gebruik kunnen maken. Maak een privacyverklaring in eenvoudige taal. Zet daarin wat je doet met persoonlijke gegevens, waar je ze voor gebruikt, hoe lang je ze bewaart en waarom dat belangrijk is. Zorg dat deze verklaring makkelijk te vinden is.

10. Ben je voorbereid op mensen die hun privacyrechten willen uitoefenen?

Gebruikers (zoals je klanten) hebben zeggenschap over hun gegevens en wat bedrijven daarmee doen. Je klant kan bijvoorbeeld inzage vragen in opgeslagen data of verleende toestemming intrekken. Bereid je organisatie hierop voor. Klanten die denken dat hun persoonsgegevens op een manier worden verwerkt die in strijd is met de privacywet, kunnen een privacyklacht indienen bij de Autoriteit Persoonsgegevens. De AP kan in zo’n geval onderzoek doen naar aanleiding van de klacht. Je kunt een boete krijgen.

Boetes

De AP controleert of bedrijven zich aan de AVG houden. Zij kunnen ook boetes uitdelen. Boetes kunnen oplopen tot maximaal 20 miljoen euro of 4% van je wereldwijde omzet als je je niet houdt aan deze privacywetgeving. De Autoriteit Persoonsgegevens (AP) heeft meerdere boetes opgelegd voor uiteenlopende overtredingen. Zo kreeg het Amsterdamse ziekenhuis OLVG een boete van 440.000 euro. Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen.

Als persoonsgegevens ondanks jouw maatregelen toch op straat belanden, ben je verplicht het datalek te melden bij de AP.

Zo zat het

De Europese Unie kende verschillende privacywetten, die voortkwamen uit de Europese privacyrichtlijn van 1995. Per 25 mei 2018 zijn deze wetten vervangen door de Algemene Verordening Gegevensbescherming. De Europese Unie kent hiermee 1 privacywet. In Nederland vervangt de AVG de Wet Bescherming Persoonsgegevens (Wbp).

Wat mag wel en wat mag niet binnen de AVG? De meest actuele vragen en antwoorden over de AVG, inclusief tips, vind je hier.

Annelies den Breejen

Als KVK-adviseur deel ik actuele en praktische informatie over wetten en regels voor zzp’ers en het klein mkb. Mijn artikelen vind je op KVK.nl en in onze nieuwsbrieven.

InspiratiePage