Met deze 10 stappen voldoe je aan privacywet AVG

  • Astrid Feitsma
  • De basis
  • 16 januari 2025
  • 4 min
  • Wetten en regels

Als je bedrijf of organisatie met persoonsgegevens werkt, geldt de privacywet AVG. In deze wet staat hoe je om moet gaan met persoonsgegevens. Zet 10 stappen om te voldoen aan de privacywet.

Inzicht in verzekeringen

De KVK Verzekeringscheck helpt je je verzekeringen te kiezen

Doe de check

1. Bekijk welke persoonsgegevens je verwerkt

Controleer welke persoonsgegevens je verwerkt. Persoonsgegevens zijn gegevens die iets over iemand zeggen. Denk daarbij aan een naam, adres en telefoonnummer. Maar ook aan klant- en personeelsnummers, aankoopgedrag op internet en video- en geluidsopnames waarop een persoon herkenbaar is.

Er zijn ook bijzondere persoonsgegevens. Die gaan bijvoorbeeld over iemands gezondheid, ras of politieke voorkeur. Tot slot zijn er gevoelige persoonsgegevens. Denk bijvoorbeeld aan het bsn-nummer en financiële gegevens. Werk je met bijzondere of gevoelige persoonsgegevens, dan moet je aan strenge regels voldoen.

2. Controleer of je een goede reden hebt om persoonsgegevens te verwerken

Je moet een goede reden ofwel ‘grondslag’ hebben om persoonsgegevens te verwerken.

In de AVG staan zes grondslagen:

  1.  Je hebt toestemming van de persoon om wie het gaat. Voorbeeld: Iemand wil jouw nieuwsbrief ontvangen en klikt op ‘ja’ om toestemming te geven.
  2. Je moet persoonsgegevens bewaren om een overeenkomst uit te voeren. Voorbeeld: Een klant bestelt een product online. Je gebruikt de adresgegevens om het product te bezorgen. 
  3. Je bent wettelijk verplicht om gegevens te bewaren. Voorbeeld: Je bewaart salarisgegevens van je werknemers omdat de wet dit voorschrijft.
  4. Je bewaart persoonsgegevens om iemands leven of gezondheid te beschermen. Voorbeeld: Bij een ongeluk geeft een arts medische informatie door aan hulpdiensten om levens te redden.
  5. Het is nodig om persoonsgegevens te bewaren om een taak van algemeen belang te vervullen of openbaar gezag uit te oefenen. Voorbeeld: Een gemeente gebruikt persoonsgegevens om een paspoort aan te vragen of verkiezingen te organiseren.
  6. Je bewaart persoonsgegevens om een belang van de organisatie te beschermen. Dat belang moet zwaarder wegen dan de rechten van betrokkenen. Voorbeeld: Een bedrijf gebruikt beveiligingscamera's om diefstal in een winkel te voorkomen.

3. Bekijk of je een functionaris nodig hebt

Sommige organisaties moeten een functionaris gegevensbescherming hebben. Die functionaris controleert of een organisatie de AVG goed toepast en zich aan de privacyregels houdt. Ook geeft de functionaris advies. 

De onafhankelijke functionaris is verplicht bij:

  1. Overheden en publieke instellingen.
  2. Bedrijven die veel mensen volgen. Bijvoorbeeld met camera’s of door gezondheidsgegevens te monitoren.
  3. Bedrijven die veel bijzondere persoonsgegevens bewaren. Denk aan bijvoorbeeld aan medische gegevens.

4. Controleer of een risico-analyse verplicht is

Als je met persoonsgegevens werkt die een hoog privacyrisico hebben, moet je een data protection impact assessment (DPIA) uitvoeren. Dat is een onderzoek naar de gevaren. Zijn de risico’s hoog? Dan moet je maatregelen nemen om die gevaren kleiner te maken. 

Een DPIA is verplicht als je:

  1. Bijzondere persoonsgegevens verwerkt.
  2. Mensen in een openbare ruimte volgt, bijvoorbeeld met beveiligingscamera’s.
  3. Gegevens combineert om mensen in een bepaalde categorie of groep in te delen. Dat heet profilering en kun je gebruiken om iemand te benaderen of beoordelen.
     

5. Werk volgens ‘privacy by design’ en ‘privacy by default’

Je moet in de ontwerpfase van een nieuw product of dienst al rekening houden met de bescherming van persoonsgegevens. Dat noem je ‘privacy by design’ (privacy door ontwerp).

De standaardinstellingen van je product of dienst moeten ook privacyvriendelijk zijn. Zo mag een vakje op een webformulier niet al standaard zijn aangevinkt. Of vraag je iemand die zich wil abonneren op je nieuwsbrief niet om meer gegevens dan nodig is. Dat noem je ‘privacy by default’ (privacy door standaardinstellingen).

AVG: privacy en persoonsgegevens

6. Bekijk of je  een verwerkingsregister moet opstellen

Bijna alle bedrijven of organisaties bewaren persoonsgegevens van bijvoorbeeld klanten, leveranciers en personeel. Je bent al snel verplicht om een verwerkingsregister bij te houden. Dat is een overzicht van alle soorten persoonsgegevens die je verwerkt. Het register moet voldoen aan een aantal eisen.

Je legt bijvoorbeeld vast wat het doel van de gegevensverwerking is, hoe lang je de gegevens bewaart en wie er nog meer toegang hebben tot de gegevens, zoals een boekhouder of leverancier. Lees hier hoe je een verwerkingsregister AVG maakt.

7. Beveilig persooonsgegevens

In de AVG staat dat je persoonsgegevens goed moet beveiligen. Met een paar maatregelen voorkom je dat je eigen persoonsgegevens en die van je klanten in verkeerde handen vallen. Zo voorkom je een datalek en misbruik van die gegevens. Bepaal welke maatregelen daarvoor nodig zijn. Werk jij digitaal veilig? Dat controleer je met deze checklist.

8. Maak afspraken met partijen die voor jou persoonsgegevens verwerken

Werkt een ander bedrijf of een andere organisatie met persoonsgegevens die je hebt verzameld en bewaard? Bijvoorbeeld een boekhouder of accountant. Dan ben je verplicht om een ‘verwerkersovereenkomst’ af te sluiten.

Denk aan uitleg over de verwerking, geheimhoudingsplicht, beveiliging en privacyrechten. Je moet zeker zijn dat ook zij veilig met jouw data omgaan. Jij blijft verantwoordelijk.

9. Check of je aan de informatieplicht voldoet

Maak een privacyverklaring in eenvoudige taal. Zet daarin wat je doet met persoonlijke gegevens, waar je ze voor gebruikt, hoe lang je ze bewaart en waarom dat belangrijk is.

Zorg dat deze verklaring makkelijk te vinden is. Bijvoorbeeld op je website. Nieuwe en bestaande klanten hebben het recht te weten wat er met hun gegevens gebeurt. Jij moet ze daarover informeren.

10. Zorg dat personen toestemming kunnen intrekken

Als je persoonsgegevens verwerkt van bijvoorbeeld klanten, medewerkers en leveranciers, dan hebben deze personenhet recht over hun persoonsgegevens te beslissen. Een klant kan bijvoorbeeld een toestemming intrekken. Ook kan die vragen welke persoonsgegevens je over hem of haar bewaart. Zorg ervoor dat je die mogelijkheden ook biedt.

Heb je geen goede reden om persoonsgegevens te verwerken? Of heb je geen goede reden meer om die te bewaren? Dan moet je die gegevens verwijderen. Degene van wie je de gegevens hebt verwerkt of bewaart, heeft namelijk 'recht op vergetelheid'. Dat betekent dat de organisatie deze persoon ‘vergeet’.

Personen kunnen een privacyklacht indienen bij Autoriteit Persoonsgegevens (AP). Als die klacht klopt, kun je een boete krijgen.

Aan de slag met AVG

Wil je weten hoe jij nog beter met persoonsgegevens om kan gaan?  Ga dan aan de slag met de de Regelhulp AVG van de Autoriteit Persoonsgegevens. De Regelhulp helpt je bij het bepalen van de invloed van de AVG op jouw bedrijf.

Anderen lezen ook