1. Home /
  2. Nieuws

AVG privacywet - Wat betekent dit voor jou?

AVG, ofwel Algemene Verordening Gegevensbescherming (internationaal GDPR genoemd), is vanaf 25 mei 2018 van kracht in alle EU-landen. Deze wet geeft klanten, medewerkers en leveranciers meer grip op hun eigen data. Zo kun je bijvoorbeeld opvragen welke informatie over jou verzameld is, of eerder gegeven toestemming weer intrekken.

Deze regelgeving is van toepassing op alle bedrijven en organisaties die persoonsgegevens verwerken van mensen in de EU. Het maakt niet uit of het gaat om gegevens van klanten, personeel of andere personen. En zelfs als je bedrijf zich buiten de EU bevindt maar je verzamelt wel persoonsgegevens van mensen binnen de EU, dan moet je je ook aan de AVG houden.

AVG
Hoe word je AVG-compliant?

De Autoriteit Persoonsgegevens biedt een handig 10-stappenplan aan om je op weg te helpen AVG-proof te worden. Samen nemen we elke stap door, zodat je aan het eind van de rit goed voorbereid bent om deze stappen in de praktijk te brengen en zo boetes te voorkomen.

Stap 1: Welke persoonsgegevens verwerk je?

De regels die je dient te volgen zijn afhankelijk van het type persoonsgegevens dat je verzamelt. We onderscheiden drie categorieën: gewone, bijzondere en strafrechtelijke persoonsgegevens.

Welke soort persoonsgegevens zijn er?
  • Gewoon: Naam, adres, foto, telefoonnummer, etc.
  • Bijzonder: Etnische afkomst, gezondheid, seksuele gerichtheid, etc.
  • Strafrechtelijk: Strafblad, strafbare feiten, verdenkingen, etc.

Een belangrijk aspect dat in vrijwel elke stap terugkomt, is dat het volledig jouw verantwoordelijkheid is om te weten wat je waar mag en kunt doen. Het is aan jou om na te gaan welke soorten persoonsgegevens jij en jouw bedrijf verzamelen.

Wat zijn de AVG grondslagen?
  • Je hebt toestemming van de persoon om wie het gaat.
  • Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
  • Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
  • Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.
  • Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
  • Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen?

Stap 2: De AVG grondslagen

Nu je weet welke persoonsgegevens er verzameld worden, is het cruciaal om een legitieme reden te hebben voor deze verzameling.

Door te voldoen aan een van de zes AVG grondslagen, bevestig je dat er een geldige reden is voor het verzamelen van deze gegevens. Dit betekent dat je het recht hebt om deze persoonsgegevens te verzamelen.

(Als mkb’er zijn alleen de eerste vier van belang)

Het is essentieel om nauwkeurig vast te leggen welke AVG grondslagen op jou van toepassing zijn en dit ook te kunnen onderbouwen, voor het geval de Autoriteit Persoonsgegevens of je doelgroep hierom vraagt.

Stap 3: Een Functionaris voor gegevensbescherming

Het kan zijn dat onder AVG je verplicht bent om iemand aan te stellen om na te gaan of jouw bedrijf zich houd aan de maatregelingen van de AVG, dit is een Functionaris voor de gegevensbescherming. In het algemeen hebben mkb’ers hier geen last van en moet dit alleen in speciale gevallen. Hiernaast zie je een aantal voorbeelden van die speciale gevallen.

Dit zijn slechts voorbeelden; controleer zelf of deze situaties op jouw bedrijf van toepassing zijn en ook al is het niet verplicht zou het nog steeds verstandig kunnen zijn om iemand in te huren die gespecialiseerd is in de bescherming van persoonsgegevens.

Camera
Wanneer is een functionaris voor gegevensbescherming verplicht?
  • Overheden en publieke organisaties
  • Organisaties en bedrijven die als kernactiviteit op grote schaal mensen volgen.
  • Organisaties en bedrijven die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken.
Wanneer loop ik een hoog privacy risico?
  • Bijzondere gegevens op grote schaal verwerken.
  • Mensen volgen in een publiek toegankelijk gebied op grote schaal.
  • Mensen profileren door een bepaalde categorie of groep in te delen zodat deze kunnen worden beoordeeld of benaderd.

Stap 4: Data Protection Impact Assessment (DPIA)

Als jij en je bedrijf gegevens verwerken die een hoog privacyrisico met zich meebrengen, ben je verplicht een Data Protection Impact Assessment (DPIA) uit te voeren. Mocht uit de DPIA blijken dat het risico te hoog is, dan dienen er maatregelen genomen te worden om dit risico te verkleinen.

Net als bij de derde stap, zijn dit slechts voorbeelden. Het is belangrijk zelf te beoordelen of dit van toepassing is op jouw bedrijf en situatie. Als je tot de conclusie komt dat een DPIA nodig is, ben je ook verplicht om duidelijk te documenteren waarom hiervoor is gekozen.

Stap 5: Privacy by design en privacy by default

Wanneer je een nieuw product of dienst ontwikkelt, is het verstandig om al vanaf het begin van het ontwerpproces rekening te houden met de bescherming van persoonsgegevens. Dit principe staat bekend als 'privacy by design'. Een manier om dit te implementeren, is door al in een vroeg stadium van het design een privacy-expert bij het proces te betrekken. Daarnaast bestaat er ook 'privacy by default', wat inhoudt dat je standaard de optie kiest die de privacy het meest waarborgt. Je handelt dus pas na expliciete goedkeuring van de betrokken persoon.

Privacy visual
Wanneer is het verplicht om een verwerkingsregister te maken?
  • Met regelmaat persoonsgegevens verwerken.
  • Bijzondere persoonsgegevens verwerken.
  • 250 medewerkers in dienst hebben.

Stap 6: Een verwerkingsregister

Een verwerkingsregister is een document waarin je specificeert welke persoonsgegevens je verwerkt, het doel van deze verwerking, waar de gegevens worden opgeslagen, en met wie deze eventueel gedeeld worden. Voor de meeste bedrijven is dit bijhouden van een verwerkingsregister verplicht, maar zelfs als het niet verplicht is, is het raadzaam om hier vroeg mee te beginnen. Zo voorkom je dat je plotseling een grote hoeveelheid data moet inventariseren.

Stap 7: De beveiliging van persoonsgegevens

Nu je weet welke gegevens je verzamelt, waarom je dit doet en mag doen, en hoe je deze opslaat, is het cruciaal om ervoor te zorgen dat deze gegevens ook veilig worden bewaard. Er bestaat geen universele methode voor gegevensbeveiliging; het hangt af van jouw specifieke situatie en wat daar het beste bij past. Het is van belang om alle werknemers goed op de hoogte te brengen van de regelgevingen, zodat zij geen potentieel risico vormen. Bovendien is het essentieel om de beveiliging van gegevens actief te blijven monitoren en indien nodig actie te ondernemen om de veiligheid te waarborgen.

Hoe beveilig je persoonsgegevens?
  • Zorg ervoor dat je werknemers bekend zijn met de regelgeving,
  • Blijf monitoren voor potentiële veiligheidsrisico's.
  • Neem actie wanneer veiligheidsrisico's worden gevonden.
Visual

Stap 8: Heb je overeenkomsten met de partijen die jouw data verwerkt?

Of je nu je boekhouding uitbesteedt of een clouddienst gebruikt voor het opslaan van data, het is cruciaal om een heldere overeenkomst te hebben over hoe zij met jouw gegevens omgaan. Dit zorgt ervoor dat je gegevens veilig worden behandeld en niet voor andere doeleinden worden gebruikt.

Stap 9: Voldoe je aan de informatie plicht?

De AVG is in het leven geroepen om mensen meer controle te geven over hun eigen persoonsgegevens. Een belangrijk onderdeel hiervan is het transparant maken wat er met hun gegevens gebeurt. Dit kun je realiseren door heldere privacy- en cookieverklaringen op te stellen. In deze verklaringen kun je uiteenzetten welke persoonsgegevens je verzamelt en met welk doel dit gebeurt.

Meer informatie over het maken van een privacyverklaring of cookieverklaring?

Vind je dit artikel nou handig kijk dan ook gelijk naar onze artikelen over hoe je het beste een privacyverklaring en een cookieverklaring kan maken.

De AVG persoonsgegevens rechten
  • Het recht om persoonsgegevens in te zien.
  • Het recht om persoonsgegevens te wijzigen en aan te vullen Het recht om vergeten te worden.
  • Het recht om persoonsgegevens over te dragen.
  • Het recht op het beperken van een verwerking van persoonsgegevens.
  • Het rechte op een menselijke blik bij besluiten.

Stap 10: De AVG rechten

Een andere stap die de AVG zet om mensen meer controle te geven over hun persoonsgegevens, is het waarborgen van hun rechten. Het is belangrijk om deze rechten al vanaf het begin mee te nemen in het ontwerpproces, zodat ze in de toekomst niet voor problemen zorgen.

Wat als je de AVG niet volgt?

Als je de regels van de AVG niet nauwkeurig volgt, kan dit leiden tot boetes voor jouw bedrijf. Dit kan het gevolg zijn van een willekeurige inspectie door de Autoriteit Persoonsgegevens of van een gerichte inspectie naar aanleiding van een klacht die iemand heeft ingediend over hoe hun persoonsgegevens worden verzameld en gebruikt.