AVG: regels voor ondernemers
De AVG geeft uw klanten meer rechten en u meer plichten. Lees wat er onder de Algemene Verordening Gegevensbescherming valt. En hoe u aan de regels voldoet.
Wat is de AVG?
De Algemene Verordening Gegevensbescherming (AVG) is een Europese Privacywet. De AVG regelt dat bedrijven en organisaties persoonsgegevens zorgvuldig verwerken. U moet bijvoorbeeld een goede reden hebben om persoonsgegevens te verwerken. En u mag niet meer persoonsgegevens verzamelen en gebruiken dan echt nodig is. Die regels zijn hetzelfde voor heel Europa. In het Engels is de AVG bekend als de General Data Protection Regulation (GDPR).
Waarom is de AVG ingevoerd?
De AVG is ingevoerd om onze privacy beter te beschermen. De AVG dwingt ondernemers zorgvuldig om te gaan met persoonsgegevens van klanten, personeel of andere personen. Ondernemers moeten kunnen aantonen dat ze zich aan deze wet houden.
Voorbeelden van persoonsgegevens
Persoonsgegevens zijn gegevens die direct over iemand gaan of naar deze persoon te herleiden zijn. Zoals naam, adres, woonplaats en telefoonnummer. Er zijn ook ‘bijzondere persoonsgegevens’, zoals seksuele gerichtheid, godsdienst en gezondheid. Die gegevens mag u niet verwerken, tenzij er voor u een uitzondering in de wet staat. Gegevens over organisaties zijn geen persoonsgegevens. Lees meer over persoonsgegevens volgens de AVG op autoriteitpersoonsgegevens.nl.
Voor wie geldt de Algemene Verordening Gegevensbescherming?
De AVG geldt voor alle zelfstandige ondernemers, bedrijven of organisaties die persoonsgegevens verwerken. Ook als u zzp’er of mkb’er bent. Het maakt niet uit of u de gegevens handmatig of geautomatiseerd verwerkt. Het maakt ook niet uit of u de gegevens voor uzelf verwerkt, of dat u dat voor iemand anders doet.
‘Verwerken van persoonsgegevens’ betekent onder meer: het verzamelen, vastleggen, opslaan, gebruiken, doorsturen, verspreiden, beschikbaar stellen en samenbrengen.
De AVG geldt dus voor veel bedrijven en organisaties. Ook als u geen personeel heeft en maar een paar klanten. Al bij het versturen van een offerte, factuur of een nieuwsbrief moet u rekening houden met de AVG. De Autoriteit Persoonsgegevens (AP) controleert of bedrijven zich aan de AVG houden. Zij kunnen ook boetes uitdelen.
Klacht indienen bij de AP
Wie denkt dat zijn persoonsgegevens op een manier worden verwerkt die in strijd is met de privacywet, kan een privacyklacht indienen bij de Autoriteit Persoonsgegevens.
10 Stappen die u helpen om te voldoen aan de AVG
Twijfelt u of u zich goed aan de AVG houdt? Of wilt u weten wat er allemaal komt kijken bij de AVG? Volg dan de 10 stappen die u helpen om te voldoen aan de AVG.
1. Verdiep u in de AVG en zet privacy op uw agenda
Lees meer over de AVG of laat u voorlichten. Heeft u personeel in dienst? Betrek dan direct de relevante medewerkers. Zij kunnen inschatten wat de impact van de AVG is op uw huidige processen, diensten en producten. Zij kunnen ook aangeven wat u moet doen om aan de AVG te voldoen.
Regelhulp AVG
Check met de Regelhulp AVG welke regels voor u gelden. Dit helpt u bepalen wat de impact van de AVG is op uw bedrijf.
Check of u persoonsgegevens mag verwerken
U mag niet zomaar persoonsgegevens verwerken. U moet daarvoor aan minstens 1 van deze 6 voorwaarden voldoen:
- u moet toestemming hebben van de persoon om wie het gaat
- het is nodig om een overeenkomst uit te voeren. U moet bijvoorbeeld adresgegevens verwerken om uw product bij iemand te kunnen bezorgen
- het is nodig om een wettelijke verplichting na te komen
- het is nodig om iemands leven of gezondheid te beschermen en u kunt die persoon niet om toestemming vragen
- het is nodig om een taak van algemeen belang uit te voeren
- het is om het gerechtvaardigd belang te behartigen. U moet bijvoorbeeld persoonsgegevens verwerken in uw personeelsadministratie om salaris uit te kunnen betalen
2. Vertel uw klanten wat hun rechten zijn
Uw klanten hebben veel rechten op gebied van privacy. U moet ervoor zorgen dat ze gemakkelijk van die rechten gebruik kunnen maken. Uw klanten mogen bijvoorbeeld:
- hun gegevens inzien, aanpassen en verwijderen
- toestemming die ze eerder gaven beperken, en weer intrekken
- hun gegevens opvragen zodat ze makkelijk naar een ander bedrijf kunnen overstappen, dat heet het recht op dataportabiliteit
Uw klanten mogen een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.
Maak een heldere privacyverklaring
Maak een privacyverklaring in eenvoudige taal. Zet daarin wat u doet met persoonlijke gegevens. Waarvoor u de gegevens gebruikt. Waarom dat belangrijk is voor uw klanten. En hoelang u de gegevens bewaart. Zorg dat deze verklaring makkelijk te vinden is.
3. Maak een overzicht van hoe u gegevens verwerkt
Leg in een register vast welke persoonsgegevens u verwerkt en waarom u dit doet. Maar ook waar deze gegevens vandaan komen, en met wie u ze deelt. Het register heeft u bijvoorbeeld nodig als klanten u vragen hun gegevens aan te passen of te verwijderen. U moet dit dan namelijk ook doorgeven aan de organisaties met wie u de gegevens heeft gedeeld.
Dit register valt onder de zogenoemde verantwoordingsplicht. U moet altijd kunnen verantwoorden hoe u met gegevens omgaat.
Vraag toestemming van de klant als u diensten uitbesteedt
Wanneer u diensten uitbesteedt, en u deelt persoonsgegevens van uw klanten met een ander bedrijf, dan heeft u hiervoor toestemming nodig van uw klanten. Bijvoorbeeld als u een extern callcenter of administratiekantoor inhuurt. Leg in een overeenkomst met uw klanten vast dat u hun gegevens deelt, omdat dat relevant is voor de manier waarop u voor hen werkt.
4. Bekijk of u een Data Protection Impact Assessment (DPIA) moet maken
Verwerkt u gegevens met een hoog privacyrisico, dan moet u een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. Op basis van deze DPIA kunt u maatregelen nemen om de privacyrisico’s te verkleinen.
Lukt het u niet om maatregelen te nemen om risico’s te verkleinen? Overleg dan met de Autoriteit Persoonsgegevens voordat u begint met het verwerken van persoonsgegevens. De AP beoordeelt dan of de gegevensverwerking in strijd is met de AVG. U ontvangt dan schriftelijk advies van de AP.
U loopt een hoog privacy risico als u:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en waarop besluiten worden gebaseerd die gevolgen hebben voor mensen
- op grote schaal bijzondere persoonsgegevens verwerkt of wanneer er strafrechtelijke gegevens worden verwerkt
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht
Bekijk een lijst met verwerkingen waarvoor een DPIA verplicht is.
5. Houd in uw producten en diensten standaard rekening met privacy
Ontwerpt u nieuwe producten of diensten, zorg dan in de ontwerpfase al dat persoonsgegevens goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd. Verwerk daarom niet meer persoonsgegevens dan nodig is. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:
- laat een app niet zonder goede reden de locatie van gebruikers registreren
- vink op uw website het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet vooraf aan
- vraag bij het abonneren op een nieuwsbrief niet meer gegevens dan nodig is
6. Onderzoek of u een functionaris gegevensbescherming nodig heeft
Verwerkt u in uw onderneming heel veel persoonsgegevens? Controleer dan of u verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen uw organisatie in de gaten houdt of u alles volgens de AVG doet. Uw organisatie mag ook vrijwillig een FG aanstellen.
7. Documenteer en meld datalekken
Bij een datalek komen persoonsgegevens vrij zonder dat dit de bedoeling is. Voorbeelden van datalekken zijn:
- u verliest een laptop, tablet, usb-stick of papieren met daarop niet-versleutelde persoonsgegevens
- u mailt persoonsgegevens naar een verkeerd persoon
- de persoonsgegevens die u verwerkt worden gestolen bij een cyberaanval
- uw systeem is besmet met ransomware waardoor de persoonsgegevens niet meer toegankelijk zijn
U moet alle ernstige datalekken direct melden aan de AP. Daarnaast moet u alle datalekken documenteren. Ook interne lekken die u niet hoeft te melden. Bekijk in de guidelines welke datalekken u moet melden. Deze richtlijnen zijn nog niet definitief. U moet de betrokkenen van wie de persoonsgegevens zijn alleen informeren als het datalek grote gevolgen heeft voor hun rechten en vrijheden.
Verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan moet u alle datalekken aan hen melden, zodat zij dit weer aan de AP kunnen melden.
8. Zorg voor een goede verwerkersovereenkomst
Werkt u samen met bedrijven, die in opdracht van u en volgens uw instructies persoonsgegevens verwerken? Zorg dan dat u met hen een verwerkersovereenkomst sluit. Ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking.
Heeft u al eerder een bewerkersovereenkomst opgesteld onder de Wet bescherming persoonsgegevens (Wbp)? Controleer dan uw huidige overeenkomst en zorg ervoor dat u een nieuwe verwerkersovereenkomst opstelt volgens de regels van de AVG. De regels onder de AVG zijn strenger.
9. Bepaal de leidend toezichthouder
Is uw organisatie in meerdere EU-landen actief? Of zijn uw gegevensverwerkingen van invloed op meerdere lidstaten van de EU? Dan hoeft u maar met één privacy-toezichthouder zaken te doen. Dat heet het een-loketmechanisme. Kies bijvoorbeeld de Nederlandse Autoriteit Persoonsgegevens.
10. Vraag toestemming voor het verwerken van gegevens
Voor sommige gegevensverwerkingen heeft u toestemming nodig van de betrokkenen. Daarnaast moet u kunnen bewijzen dat u toestemming heeft gekregen. Bekijk daarom hoe u toestemming vraagt, krijgt en hoe u dit vastlegt.