Privacywetgeving AVG, wanneer ben je compliant?

  • Annelies den Breejen
  • De basis
  • 9 november 2022
  • Bijgewerkt 16 juli 2024
  • 4 min
  • Wetten en regels

Je wilt klanten benaderen maar je weet niet of dit mag vanwege de AVG-privacyregels. Aan de hand van 10 vragen bepaal jij welke acties je moet nemen om aan de wet te voldoen. Zo word jij AVG-compliant en voorkom je een boete.

Inzicht in verzekeringen

De KVK Verzekeringscheck helpt je je verzekeringen te kiezen

Doe de check

Wet AVG

In de wet Algemene Verordening Gegevensbescherming (AVG) staat hoe bedrijven moeten omgaan met persoonsgegevens. De Europese regels zijn vastgelegd in de General Data Protection Regulation (GDPR). Door de AVG heb je als ondernemer verplichtingen bij het verwerken van persoonsgegevens.

Jouw klanten, medewerkers en leveranciers moeten weten welke gegevens jij van ze hebt. Ook kunnen ze aangeven hoe je met hun gegevens moet omgaan. Je klant kan bijvoorbeeld inzage vragen in opgeslagen persoonsgegevens, of een eerder gegeven toestemming intrekken.

Praktijkvoorbeeld

In onderstaande animatie wordt een onderdeel van de AVG uitgelegd en zie je hoe de wet goed wordt toegepast.

AVG: privacy en persoonsgegevens

Voor wie geldt de AVG?

Europese privacyregels gelden voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU. Vrijwel alle ondernemers hebben te maken met privacygevoelige informatie, ook zzp'ers en kleine mkb-bedrijven. De wet geldt ook voor overheden, scholen, zorginstanties, verenigingen, stichtingen en internationale bedrijven die zakendoen met de EU.

De grootte, type werkzaamheden en diensten van je bedrijf bepalen welke AVG-maatregelen je moet nemen. Je krijgt er al mee te maken door het uitsturen van een offerte of nieuwsbrief. Of door het bijhouden van afspraken en contactgegevens van (toekomstige) klanten en medewerkers.

In 10 stappen AVG-compliant

De Regelhulp AVG van de Autoriteit Persoonsgegevens (AP) helpt je bij het bepalen van de impact van de AVG op jouw bedrijf. Hierin staan onderstaande 10 vragen. Na het beantwoorden van deze vragen kun je aan de slag.

1. Welke persoonsgegevens verwerk je?

Inventariseer welke persoonsgegevens je verwerkt. Persoonsgegevens zijn gegevens die over iemand gaan of die naar iemand te herleiden zijn, zoals naam, adres, telefoonnummer en burgerservicenummer.

Naast 'gewone' persoonsgegevens zijn er ook bijzondere persoonsgegevens. Deze gaan bijvoorbeeld over iemands gezondheid, strafrechtelijke verleden of politieke voorkeur. Het is verboden om bijzondere persoonsgegevens te gebruiken, tenzij je voldoet aan een aantal strenge eisen.

2. Heb je een goede reden om persoonsgegevens te verwerken?

Je mag alleen persoonsgegevens verwerken wanneer je deze echt nodig hebt om je doel te bereiken en het niet anders kan. Je moet dus een goede reden, ofwel ‘grondslag’ hebben. Bijvoorbeeld dat je toestemming hebt van de persoon om wie het gaat. Er zijn zes grondslagen in de AVG.

3. Heb je een functionaris voor gegevensbescherming nodig?

In sommige organisaties is een functionaris gegevensbescherming verplicht. Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris is verplicht bij:

  • Overheden en publieke organisaties.
  • Organisaties en bedrijven die op grote schaal individuen volgen. Denk aan cameratoezicht en monitoring van iemands gezondheid.
  • Organisaties en bedrijven die op grote schaal bijzondere persoonsgegevens verwerken.

4. Ben je verplicht om een risico-analyse uit te voeren?

Bij het verwerken van gegevens met een hoog privacyrisico is een data protection impact assessment ( DPIA) verplicht. Blijkt uit de DPIA dat de risico's hoog zijn, dan moet je maatregelen nemen om deze te verkleinen. Een DPIA moet je uitvoeren als je:

  • Bijzondere persoonsgegevens verwerkt.
  • Systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht.
  • Gegevens zo combineert, dat iemand in een bepaalde categorie of groep is in te delen en daardoor kan worden benaderd of beoordeeld. Dat heet profilering.

5. Werk je volgens uitgangspunten van privacy by design en privacy by default?

Zorg dat je in de ontwerpfase van nieuwe producten of diensten persoonsgegevens goed beschermt. Dat wordt ‘privacy by design’ genoemd. Daarnaast moeten iemand zelf toestemming geven. Zo mag een vakje op een webformulier niet al standaard zijn aangevinkt. Dat wordt ‘privacy by default’ genoemd.

6. Moet je een register van verwerkingsactiviteiten opstellen?

In een verwerkingsregister beschrijf je welke persoonsgegevens je gebruikt, voor welk doel en waar je ze opslaat. Ook beschrijf je welke organisaties of bedrijven toegang hebben tot de gegevens, zoals je boekhouder of een leverancier. Je bent verplicht om met een register te werken als jouw organisatie:

  • Regelmatig persoonsgegevens verwerkt.
  • Bijzondere persoonsgegevens verwerkt.
  • Meer dan 250 medewerkers heeft.

Vrijwel alle bedrijven of organisaties bewaren persoonsgevens van klanten, leveranciers en personeel. Zij zijn verplicht een verwerkingsregister bij te houden. Het verwerkingsregister is een overzicht van alle soorten persoonsgegevens die je verwerkt. Het register moet voldoen aan een aantal eisen. Je neemt onder meer op wat het doel van de gegevensverwerking is en hoe lang je de gegevens bewaart. Lees hier hoe je een verwerkingsregister AVG maakt.

7. Heb je de juiste maatregelen genomen om persoonsgegevens te beveiligen?

In de AVG staat dat je persoonsgegevens goed moet beveiligen. Bepaal welke technische en organisatorische maatregelen hiervoor nodig zijn. Werk jij digitaal veilig? Dat kun je met deze checklist controleren.

8. Heb je afspraken met partijen die persoonsgegevens voor jou verwerken?

Zorg voor een goede verwerkersovereenkomst met de organisatie aan wie je gegevensverwerking uitbesteedt. Je moet als ondernemer zeker zijn dat ook zij veilig met jouw data omgaan.

9. Voldoe je aan de informatieplicht?

Maak een privacyverklaring in eenvoudige taal. Zet daarin wat je doet met persoonlijke gegevens, waar je ze voor gebruikt, hoe lang je ze bewaart en waarom dat belangrijk is. Zorg dat deze verklaring makkelijk te vinden is. Klanten hebben het recht te weten wat er met hun gegevens gebeurt. Jij hebt de plicht hen hierover te informeren.

10. Ben je voorbereid op personen die toestemming willen intrekken?

Gebruikers, zoals je klanten, hebben zeggenschap over hun gegevens en wat jij daarmee doet. Een klant kan bijvoorbeeld inzage vragen in opgeslagen data of een eerder gegeven toestemming intrekken. Bereid je organisatie hierop voor. Klanten die denken dat hun persoonsgegevens niet volgens de privacywet worden verwerkt, kunnen een privacyklacht indienen bij Autoriteit Persoonsgegevens (AP). Als de klacht terecht is kun je een boete krijgen.

Heb je geen goede reden (meer) om persoonsgegevens te verwerken? Dan moet je deze verwijderen. De klant heeft namelijk recht op vergetelheid. Dat betekent dat de organisatie de klant 'vergeet'.

Anderen lezen ook