AVG: regels voor ondernemers
Gebruikt u persoonsgegevens van klanten, personeel of andere personen? U moet zich houden aan privacyregels. Lees wat er onder de Algemene Verordening Gegevensbescherming valt. En hoe u aan de regels voldoet.
Wat is de AVG?
De Algemene Verordening Gegevensbescherming (AVG) is een Europese privacywet. De AVG regelt dat bedrijven en organisaties persoonsgegevens zorgvuldig verwerken. U moet bijvoorbeeld een goede reden hebben om persoonsgegevens te verwerken. En u mag niet meer persoonsgegevens verzamelen en gebruiken dan echt nodig is. Deze regels gelden in de hele Europese Economische Ruimte (EER). Dit zijn alle lidstaten van de Europese Unie en Liechtenstein, Noorwegen en IJsland. In het Engels is de AVG bekend als de General Data Protection Regulation (GDPR).
Waarom is de AVG ingevoerd?
De AVG is ingevoerd om de privacy van iedereen beter te beschermen. De AVG dwingt ondernemers zorgvuldig om te gaan met persoonsgegevens van klanten, personeel of andere personen. U moet kunnen aantonen dat u zich aan deze wet houdt.
Voorbeelden van persoonsgegevens
Persoonsgegevens zijn gegevens die direct over iemand gaan. Of waardoor je te weten kunt komen over wie het gaat. Zoals een naam, adres, woonplaats en telefoonnummer. Er zijn ook ‘bijzondere persoonsgegevens’. Dat zijn bijvoorbeeld seksuele gerichtheid, godsdienst en gezondheid. Die gegevens mag u niet verwerken, tenzij er voor u een uitzondering in de wet staat. Gegevens over organisaties zijn geen persoonsgegevens. Lees meer over persoonsgegevens volgens de AVG op autoriteitpersoonsgegevens.nl.
Voor wie geldt de AVG?
De AVG geldt voor alle bedrijven en organisaties binnen de Europese Economische Ruimte (EER) die persoonsgegevens verwerken. Ook als u zzp’er of mkb’er bent, moet u zich aan de AVG houden. Het maakt niet uit of u de gegevens handmatig of geautomatiseerd verwerkt. Het maakt ook niet uit of u de gegevens voor uzelf verwerkt, of dat u dat voor iemand anders doet.
Al bij het versturen van een offerte, factuur of een nieuwsbrief moet u rekening houden met de AVG. De Autoriteit Persoonsgegevens (AP) controleert of bedrijven zich aan de AVG houden. Zij kunnen ook boetes uitdelen.
Klacht indienen bij de AP
Iedereen kan een privacyklacht indienen bij de Autoriteit Persoonsgegevens. Dit gebeurt als iemand denkt dat zijn persoonsgegevens niet op de juiste manier worden verwerkt.
10 Stappen die u helpen om te voldoen aan de AVG
Twijfelt u of u zich goed aan de AVG houdt? Of wilt u weten wat er allemaal komt kijken bij de AVG? Volg dan de 10 stappen die u helpen om te voldoen aan de AVG.
Lees meer over de AVG of laat u voorlichten. Heeft u personeel in dienst? Betrek dan direct werknemers die persoonsgegevens verwerken. Zij kunnen inschatten wat de impact van de AVG is op uw huidige processen, diensten en producten. Zij kunnen ook aangeven wat u moet doen om aan de AVG te voldoen.
U mag niet zomaar persoonsgegevens verwerken. U moet daarvoor minstens 1 van deze 6 redenen hebben:
- U heeft toestemming van de persoon om wie het gaat
- Het is nodig om een overeenkomst uit te voeren. U moet bijvoorbeeld adresgegevens verwerken om uw product bij iemand te kunnen bezorgen
- Het is nodig om een wettelijke verplichting na te komen
- Het is nodig om iemands leven of gezondheid te beschermen en u kunt die persoon niet om toestemming vragen
- Het is nodig om een taak van algemeen belang uit te voeren
- Het is om het gerechtvaardigd belang te behartigen. U moet bijvoorbeeld persoonsgegevens verwerken in uw personeelsadministratie om salaris uit te kunnen betalen
Lees meer over de 6 verschillende redenen.
Uw klanten hebben veel rechten op het gebied van privacy. U moet ervoor zorgen dat ze gemakkelijk van die rechten gebruik kunnen maken. Uw klanten mogen bijvoorbeeld:
- hun gegevens inzien, aanpassen en verwijderen
- toestemming die ze eerder gaven beperken, en weer intrekken
- hun gegevens opvragen zodat ze makkelijk naar een ander bedrijf kunnen overstappen, dat heet het recht op dataportabiliteit
Uw klanten mogen een klacht indienen bij de Autoriteit Persoonsgegevens. De AP is verplicht deze klachten in behandeling te nemen.
Leg in een register vast welke persoonsgegevens u verwerkt en waarom u dit doet. Maak duidelijk waar deze gegevens vandaan komen en met wie u ze deelt. U gebruikt het register als klanten u vragen hun gegevens aan te passen of te verwijderen. U moet dit ook doorgeven aan de organisaties met wie u de gegevens heeft gedeeld.
Dit register valt onder de zogenoemde verantwoordingsplicht. U moet altijd kunnen verantwoorden hoe u met gegevens omgaat.
Verwerkt u gegevens met een hoog privacyrisico? Dan moet u een Data Protection Impact Assessment (DPIA) uitvoeren. Dit is een uitgebreid onderzoek om risico’s van gegevensverwerking in kaart te brengen. Op basis van deze DPIA kunt u maatregelen nemen om de privacyrisico’s te verkleinen.
Lukt het u niet om maatregelen te nemen om risico’s te verkleinen? Overleg dan met de Autoriteit Persoonsgegevens voordat u begint met het verwerken van persoonsgegevens. De AP beoordeelt of de gegevensverwerking in strijd is met de AVG. U krijgt schriftelijk advies van de AP.
U loopt een hoog privacy risico als u:
- systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking (profiling) en waarop besluiten worden gebaseerd die gevolgen hebben voor mensen
- op grote schaal bijzondere persoonsgegevens verwerkt of wanneer er strafrechtelijke gegevens worden verwerkt
- op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht
Bekijk een lijst met verwerkingen waarvoor een DPIA verplicht is.
Ontwerpt u nieuwe producten of diensten, zorg dan in de ontwerpfase al dat persoonsgegevens goed worden beschermd. Dit wordt ook wel ‘privacy by design’ genoemd. Verwerk daarom niet meer persoonsgegevens dan nodig is. Dit noemt men ook ‘privacy by default’. Voorbeelden hiervan zijn:
- laat een app niet zonder goede reden de locatie van gebruikers registreren
- vink op uw website het vakje ‘ja, ik wil aanbiedingen ontvangen’ niet vooraf aan
- vraag bij het abonneren op een nieuwsbrief niet meer gegevens dan nodig is
Verwerkt u in uw onderneming heel veel persoonsgegevens? Controleer dan of u verplicht bent een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die binnen uw organisatie in de gaten houdt of u alles volgens de AVG doet. Uw organisatie mag ook vrijwillig een FG aanstellen.
Bij een datalek komen persoonsgegevens vrij zonder dat dit de bedoeling is. Voorbeelden van datalekken zijn:
- u verliest een laptop, tablet, usb-stick of papieren met daarop niet-versleutelde persoonsgegevens
- u mailt persoonsgegevens naar een verkeerd persoon
- de persoonsgegevens die u verwerkt worden gestolen bij een cyberaanval
U moet alle ernstige datalekken direct melden aan de AP. Daarnaast moet u alle datalekken documenteren. Ook interne lekken die u niet hoeft te melden. Bekijk in de guidelines welke datalekken u moet melden. U moet de personen van wie de persoonsgegevens zijn alleen informeren als het datalek grote gevolgen heeft voor hun rechten en vrijheden.
Verwerkt u privacygevoelige data voor uw opdrachtgevers? Dan moet u alle datalekken aan hen melden, zodat zij dit aan de AP kunnen doorgeven.
Werkt u samen met bedrijven, die in opdracht van u en volgens uw instructies persoonsgegevens verwerken? Zorg dan dat u met hen een verwerkersovereenkomst sluit. Ook als de verwerker een dochteronderneming is of in het buitenland gevestigd is. Het inzien van de gegevens door een externe helpdesk is al een vorm van verwerking.
Heeft u al eerder een bewerkersovereenkomst opgesteld onder de Wet bescherming persoonsgegevens (Wbp)? Controleer dan uw huidige overeenkomst en zorg ervoor dat u een nieuwe verwerkersovereenkomst opstelt volgens de regels van de AVG. De AVG-regels zijn strenger.
Is uw organisatie in meerdere landen van de EER actief? Of is uw gegevensverwerking van invloed op meerdere landen van de EER? Dan hoeft u maar met één privacy-toezichthouder zaken te doen. Dat heet het één-loketmechanisme. Kies bijvoorbeeld de Nederlandse Autoriteit Persoonsgegevens.
Persoonsgegevens doorgeven buiten de EER
U mag alleen persoonsgegevens doorgeven aan een land buiten de Europese Economische Ruimte als dat land voldoende rekening houdt met de privacyregels. Dit geldt volgens de EU voor 14 landen. Voor die landen kunt u dit stappenplan gebruiken.
Wilt u persoonsgegevens uitwisselen met een land dat niet op de lijst staat? Dan moet de gegevensverwerker u officieel toezeggen dat zij zich aan de AVG-regels houdt. Dit heet een ‘passende waarborg’. U kunt hiervoor een modelcontract gebruiken.
Heeft uw eigen organisatie vestigingen in landen buiten de EER? U kunt bindende bedrijfsafspraken vastleggen over hoe om te gaan met persoonsgegevens.
Lees meer over de regels en uitzonderingen voor het doorgeven van gegevens buiten de EER.
Video AVG: regels voor ondernemers
Bekijk de video ‘AVG: regels voor ondernemers’. In deze video krijgt u uitleg over wat de AVG is en wat dit voor uw bedrijf betekent.
Heeft u nog vragen?
Neem contact op met Rijksdienst voor Ondernemend Nederland (RVO)