De Algemene Verordening Gegevensbescherming, kortweg AVG genoemd, is weer een nieuwe "administratieve last" voor de ondernemers omgeving door een best complex juridisch jasje. De AVG is een nieuwe wet die het verwerken van persoonlijke gegevens beter beschermd. Bijna elk bedrijf verwerkt wel bepaalde persoonlijke gegevens, bijv. van personeel of van klanten. En dan komt de AVG al direct om de hoek kijken. Maar hoe weet je zeker waar je op moet letten? Wat moet je precies doen en op orde hebben? Veel bedrijven in het MKB zijn nog lang niet AVG-proof terwijl de boetes daarop niet misselijk zijn. In dit artikel krijgt je antwoord op deze vragen.
Wat is de AVG
De AVG staat voor Algemene verordening gegevensbescherming. Een verordening heeft een rechtstreekse werking en bevat regels die meteen gelden in heel Europa. Deze wet is in 2018 ingetreden en geldt in alle EU-lidstaten. Dat houdt in dat in heel Europa dezelfde regels gelden betreffende de privacy van persoonsgegevens. In Nederland heet deze privacywet de AVG en in de EU heet deze wet General Data Protection Regulation (GDPR).
De AVG zorgt ervoor dat bedrijven zorgvuldig omgaan met persoonlijke gegevens van klanten en werknemers en dat zij hier geen misbruik van maken. De Autoriteit Persoonsgegevens (AP) houdt toezicht op het feit dat bedrijven de regels van de AVG nakomen.
Gegevens verwerken
Het verwerken van persoonlijke gegevens gebeurt vaak sneller dan je zelf door hebt. Het is belangrijk om er als bedrijf bewust van te zijn dat je veel te maken hebt met het verwerken van persoonlijke gegevens. Zo is dat bij het opslaan van beelden van beveiligingscamera´s al het geval.
Wat zijn persoonlijke gegevens?
Bepaal eerst of er sprake is van in het bezit zijn van persoonlijke gegevens. Volgens Art. 4 lid 1 AVG zijn persoonsgegevens ´alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. ´ Het gaat erom dat je gegevens hebt waarmee je iemand direct kunt identificeren. Dit zijn bijvoorbeeld voor- en achternamen, telefoonnummer, huisadressen of e-mailadressen. Wanneer je als bedrijf te maken krijgt met deze gegevens, betekent het dat de AVG van toepassing is.
De bovengenoemde gegevens zijn ´gewone´ persoonlijke gegevens. Er bestaan ook bijzondere persoonlijke gegevens. Dit zijn bijvoorbeeld gegevens over de gezondheid van een persoon. Hier gelden volgens de AVG andere regels voor.
Wat is verwerking?
Nu vastgesteld is wat persoonsgegevens zijn, moet er gekeken worden of er ook sprake is van de verwerking van deze gegevens. Art. 4 lid 2 AVG: ´verwerking is het bewerken van de persoonlijke gegevens op verschillende manieren.´ Wanneer deze gegevens bijv. opgeslagen, vastgelegd, geraadpleegd of gebruikt worden, is er sprake van verwerking.
Grondslagen verwerking
Er bestaan zes omstandigheden wanneer het toegestaan is om persoonlijke gegevens te verwerken (Art. 6 AVG). Het is altijd belangrijk om goed te kunnen onderbouwen waarom je voor een grondslag hebt gekozen.
1. De klant, waarvan je de persoonlijke gegevens verwerkt, heeft toestemming gegeven.
2. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken omdat een overeenkomt uitgevoerd dient te worden.
3. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken omdat dit volgens de wet verplicht wordt.
4. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken omdat er vitale belangen beschermd dienen te worden.
5. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken omdat een taak van algemeen belang of openbaar gezag uitgeoefend moet worden.
6. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken omdat het gerechtvaardigde belang behartigd dient te worden.
Wanneer bestaat recht op privacy
Het recht op privacy is een grondrecht en staat in artikel 10 van de Grondwet beschreven. Art. 10 lid 2 GW: ´De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. ´ Eenieder heeft dus recht op de bescherming van diens persoonlijke gegevens. Door de invoering van de AVG zijn deze gegevens nog beter beschermd.
Voorbeeld: Een klant komt op jouw website en geeft zijn/haar e-mailadres op om een account aan te maken. Mag dit e-mailadres dan automatisch gebruikt worden om deze klant nieuwsbrieven te sturen? Nee, een bedrijf dient altijd toestemming te vragen voor het gebruik van persoonlijke gegevens en er moet een mogelijkheid zijn voor de klant om deze toestemming ook weer in te trekken (Art. 6 lid 1 sub a AVG). Ook bestaat het recht op inzage in de gegevens als de klant hierom vraagt. De klant heeft de mogelijkheid om bij de AP een klacht in te dienen over het bedrijf als zij zich niet aan de regels houden.
Welke plichten heb je als bedrijf
Er zijn bepaalde verplichtingen waar je door de AVG als bedrijf aan gebonden wordt. Zo bestaat er een verantwoordingsplicht (Art. 5 AVG). Een bedrijf moet een aantal zaken verantwoorden als ze persoonlijke gegevens verwerken. Ze moeten ervoor zorgen dat ze geen misbruik maken van de gegevens. Dit doen zij door vast te leggen waarvoor de gegevens gebruikt worden, welke gegevens gebruikt worden, hoelang de gegevens bewaard blijven, met wie de gegevens gedeeld worden en hoe de gegevens goed beveiligd worden. Het is handig om deze zaken in het privacybeleid van jouw bedrijf te vermelden.
Om aan de informatieplicht te voldoen, is het handig om een privacyverklaring te hebben. In de privacyverklaring staat waarom jij de gegevens mag verwerken van jouw klanten. Hiermee informeer je de klant waarom de gegevens verwerkt worden en wat met de gegevens gebeurt. Er dient een verwerkingsregister aanwezig te zijn wanneer het bedrijf bestaat uit meer dan 250 werknemers. Heeft jouw bedrijf minder dan 250 werknemers, maar verwerk je wel bijzondere persoonlijke gegevens? Dan dient er ook een verwerkingsregister aanwezig te zijn. In zo´n verwerkingsregister staat informatie beschreven over de persoonlijke gegevens die je verwerkt.
Zo bestaan er nog meerdere verplichtingen waar bedrijven zich volgens de AVG aan moeten houden.
Welke rechten heb je als bedrijf
Ook worden er rechten aan jouw bedrijf gebonden door de AVG. Als je samenwerkt met een ander bedrijf en je deelt jouw persoonlijke gegevens met dat bedrijf, heb je recht op inzage in die gegevens. De persoonlijke gegevens van jouw bedrijf mogen niet voor een ander doel gebruikt worden dan waarvoor jij toestemming hebt gegeven.
Wanneer er een datalek plaatsvindt, kunnen gevoelige persoonlijke gegevens van jouw bedrijf vrijgegeven worden. Ieder bedrijf heeft het recht dat de gegevens goed beveiligd worden.
Conclusie
Vrijwel alle bedrijven krijgen op een manier te maken met het verwerken van persoonlijke gegevens. Persoonlijke gegevens zijn gegevens waarmee je een persoon mee kunt identificeren. Deze worden verwerkt op het moment de gegevens op een manier bewerkt worden. Je moet als bedrijf een geldige grondslag hebben om persoonlijke gegevens te mogen verwerken.
Het is altijd goed om een privacybeleid en privacyverklaring te maken. In sommige gevallen dient er ook een verwerkingsregister aanwezig te zijn. Het verwerken van persoonlijke gegevens brengt rechten en plichten met zich mee. Zorg er altijd voor dat je goed ingelezen bent in de AVG.
Vragen of contact
Heb je vragen over dit artikel, wil je een privacyverklaring of verwerkingsovereenkomst laten opstellen? Of heb je andere vragen over AVG en aanverwante juridische thema's? Stel deze dan gerust hieronder.. Wij reageren dan snel. Je kunt ook direct een online consult inplannen.
