De AVG: welke verplichtingen heb ik als ondernemer?
In 2018 is de Algemene verordening gegevensbescherming, oftewel de AVG, in werking getreden. De AVG ziet op de bescherming van de persoonsgegevens van natuurlijke personen en kent verplichtingen voor ondernemers. U zal zich als ondernemer natuurlijk afvragen wat dit voor u allemaal betekent. In dit artikel worden de belangrijkste punten voor u op een rij gezet.
Verwerking van persoonsgegevens
De AVG is op elke mogelijke verwerking van een persoonsgegeven door een bedrijf of organisatie van toepassing. Ook een zzp’er is aan de AVG gebonden. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon die u kunt bedenken. Dit laatste houdt in dat onder een persoonsgegeven ook informatie wordt verstaan die naar een persoon te herleiden is. Voorbeelden van persoonsgegevens zijn een naam, een bsn-nummer en adresgegevens. Met een verwerking wordt bijvoorbeeld gedoeld op het verzamelen, opslaan, wijzigen, opvragen, raadplegen of verspreiden van persoonsgegevens. Deze verwerkingen kunnen geheel of gedeeltelijk geautomatiseerd zijn. U zult als ondernemer dan ook al gauw persoonsgegevens verwerken, bijvoorbeeld als u met klanten communiceert, maar ook als u werknemers in dienst heeft.
Doel van verwerking
U mag persoonsgegevens enkel verwerken als er sprake is van een wettelijke grondslag. Deze grondslagen worden genoemd in de AVG. Verwerking van persoonsgegevens mag bijvoorbeeld met toestemming van de persoon wiens gegevens het zijn of als het verwerken van de gegevens noodzakelijk is om een overeenkomst uit te voeren. Ook het voldoen aan een wettelijke verplichting is een gerechtvaardigd doel. Dit is het geval wanneer u op basis van de wet gegevens een bepaalde tijd moet bewaren, zoals het geval is bij fiscale gegevens.
Het doel op grond waarvan u de gegevens verwerkt moet duidelijk en transparant worden neergelegd in een privacyverklaring. In deze privacyverklaring moet ook duidelijk gemaakt worden welke persoonsgegevens precies verwerkt worden en hoe lang deze bewaard worden. Er moet daarnaast worden aangegeven of de persoonsgegevens aan andere organisaties worden verkocht of gedeeld en zo ja, aan welke organisatie dan. De privacyverklaring dient voor klanten makkelijk te vinden te zijn op bijvoorbeeld uw website. Met een privacyverklaring voldoet u aan de zogeheten informatieplicht. Mensen die hun persoonsgegevens delen hebben namelijk het recht op informatie.
Overige verplichtingen
Het is belangrijk dat de gegevens goed beschermd zijn. Er moet dus een veilige online omgeving zijn. Hierbij kunt u bijvoorbeeld denken aan data-minimalisatie: niet meer persoonsgegevens vragen dan strikt noodzakelijk. De gegevens die wel verwerkt kunnen worden kunnen dan bijvoorbeeld beveiligd worden doordat ze te pseudonimiseren. De gegevens kunnen dan niet meer aan de persoon in kwestie gekoppeld worden.
Indien u heel veel persoonsgegevens of bijzondere categorieën van persoonsgegevens verwerkt, zullen er mogelijk nog aanvullende maatregelen getroffen moeten worden, zoals het opstellen van een privacybeleid, een verwerkingsregister of het doen van een data protection impact assessment. Dit is een onderzoek naar de risico’s van de gegevensverwerking met als doel deze risico’s te verkleinen.
Toezicht
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de AVG. Indien een persoon een klacht indient bij de AP over de verwerking van hun persoonsgegevens door een bedrijf of organisatie, dan is de AP verplicht om deze klacht te onderzoeken. Als ondernemer zal u dan mogelijk verantwoording af moeten leggen over hun verwerking en de maatregelen die u heeft getroffen qua bescherming van de gegevens.
Wilt u meer weten?
Bel ons dan op 0900-1966 of gratis met een lidmaatschap. U krijgt dan direct een jurist aan de lijn die kan adviseren over uw persoonlijke situatie.