De Algemene Verordening Gegevensbescherming, kortweg AVG genoemd, is weer een nieuwe "administratieve last" voor de ondernemers omgeving door een best complex juridisch jasje. De AVG is een nieuwe wet die het verwerken van persoonlijke gegevens beter beschermt. Bijna elk bedrijf verwerkt wel bepaalde persoonlijke gegevens, bijv. van personeel of van klanten. En dan komt de AVG al direct om de hoek kijken. Maar hoe weet je zeker waar je op moet letten? Wat moet je precies doen en op orde hebben? Het verwerken van persoonlijke gegevens gebeurt vaak sneller dan je zelf door hebt. Het is belangrijk om er als bedrijf bewust van te zijn dat je veel te maken hebt met het verwerken van persoonlijke gegevens. Veel bedrijven in het MKB zijn nog lang niet AVG-proof terwijl de boetes daarop niet misselijk zijn. In dit artikel krijgt je antwoord op deze vragen.
Wat is de AVG
De AVG staat voor Algemene verordening gegevensbescherming. Een verordening heeft een rechtstreekse werking en bevat regels die meteen gelden in een groot deel van Europa. Deze wet is in 2018 ingetreden en geldt in alle EU-lidstaten. Dat houdt in dat in bijna heel Europa dezelfde regels gelden betreffende de privacy van persoonsgegevens. In Nederland heet deze privacywet de AVG en in de EU heet deze wet General Data Protection Regulation (GDPR).
De AVG heeft als doel dat bedrijven zorgvuldig omgaan met persoonlijke gegevens van klanten en werknemers en dat zij hier geen misbruik van maken. De Autoriteit Persoonsgegevens (AP) houdt toezicht op het feit dat bedrijven de regels van de AVG nakomen.
Persoonlijke gegevens
Persoonsgegevens zijn 'alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon' (Art. 4 lid 1 AVG). Het gaat erom dat je gegevens hebt waarmee je iemand direct kunt identificeren. Dit zijn bijvoorbeeld voor- en achternamen, telefoonnummers, huisadressen of e-mailadressen. Wanneer je als bedrijf te maken krijgt met deze gegevens, is de AVG van toepassing op jou.
De bovengenoemde gegevens zijn ´gewone´ persoonlijke gegevens. Er bestaan ook bijzondere persoonlijke gegevens. Dit zijn bijvoorbeeld gegevens over de gezondheid van een persoon. Hier gelden volgens de AVG andere regels voor.
Gegevens verwerken
Nu vastgesteld is wat persoonsgegevens zijn, moet er gekeken worden of er ook sprake is van de verwerking van deze gegevens. Volgends de AVG is verwerking het bewerken van de persoonlijke gegevens op verschillende manieren. Wanneer deze gegevens bijv. opgeslagen, bijgewerkt, geraadpleegd of vernietigd worden, is er sprake van verwerking.
Grondslagen verwerking
Er bestaan zes omstandigheden wanneer het toegestaan is om persoonlijke gegevens te verwerken (Art. 6 AVG). Het is altijd belangrijk om goed te kunnen onderbouwen waarom je voor een grondslag hebt gekozen.
De klant, waarvan je de persoonlijke gegevens verwerkt, heeft toestemming gegeven.
Het verwerken van de persoonsgegevens is noodzakelijk om een overeenkomst na te komen.
Volgens de wet is het verplicht om de persoonsgegevens te verwerken.
De persoonlijke gegevens moeten verwerkt worden om vitale belangen te beschermen.
Het verwerken van de persoonsgegevens is noodzakelijk om een taak van algemeen belang of openbaar gezag uit te oefenen.
Het verwerken van persoonlijke gegevens te verwerken is noodzakelijk om een gerechtvaardigd belang te behartigen.
Wanneer bestaat recht op privacy
Het recht op privacy is een grondrecht en staat in artikel 10 van de Grondwet beschreven: ‘De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.’ Eenieder heeft dus recht op de bescherming van zijn of haar persoonlijke gegevens. Door de invoering van de AVG zijn deze gegevens nog beter beschermd.
Voorbeeld: Een klant komt op jouw website en geeft zijn/haar e-mailadres op om een account aan te maken. Mag dit e-mailadres dan automatisch gebruikt worden om deze klant nieuwsbrieven te sturen? Nee, een bedrijf dient altijd toestemming te vragen voor het gebruik van persoonlijke gegevens en er moet een mogelijkheid zijn voor de klant om deze toestemming ook weer in te trekken (Art. 6 lid 1 sub a AVG). Er bestaat ook een recht op inzage in de gegevens als de klant hierom vraagt. De klant heeft de mogelijkheid om bij de AP een klacht in te dienen over het bedrijf als zij zich niet aan de regels houden.
Welke plichten heb je als bedrijf
Er zijn bepaalde verplichtingen waar je door de AVG als bedrijf aan gebonden wordt. Zo bestaat er een verantwoordingsplicht (Art. 5 AVG). Een bedrijf moet een aantal zaken verantwoorden als ze persoonlijke gegevens verwerken. Ze moeten ervoor zorgen dat ze geen misbruik maken van de gegevens. Dit doen zij door het volgende vast te leggen:
Waarvoor de gegevens gebruikt worden, welke gegevens gebruikt worden;
Hoe lang de gegevens bewaard blijven;
Met wie de gegevens gedeeld worden; en
Hoe de gegevens goed beveiligd worden.
Het is handig om deze zaken in het privacybeleid, of te wel het cookiebeleid, van jouw bedrijf te vermelden.
Privacyverklaring
Om aan de informatieplicht te voldoen, is het handig om een privacyverklaring te hebben. In de privacyverklaring staat waarom jij de gegevens van jouw klanten mag verwerken. Hiermee informeer je de klant waarom de gegevens verwerkt worden en wat er met de gegevens gebeurt. Er dient een verwerkingsregister aanwezig te zijn wanneer het bedrijf bestaat uit meer dan 250 werknemers. Heeft jouw bedrijf minder dan 250 werknemers, maar verwerk je wel bijzondere persoonlijke gegevens? Dan dient er ook een verwerkingsregister aanwezig te zijn. In zo´n verwerkingsregister staat informatie beschreven over de persoonlijke gegevens die je verwerkt.
Zo bestaan er nog meerdere verplichtingen waar bedrijven zich volgens de AVG aan moeten houden.
Welke rechten heb je als persoon
Naast de plichten, worden er ook rechten aan jouw bedrijf gebonden door de AVG. Als je samenwerkt met een ander bedrijf en je deelt jouw persoonlijke gegevens met dat bedrijf, heb je recht op inzage in die gegevens. De persoonlijke gegevens van jouw bedrijf mogen niet voor een ander doel gebruikt worden dan waarvoor jij toestemming hebt gegeven.
Als er een datalek plaatsvindt, kunnen gevoelige persoonlijke gegevens van jouw bedrijf vrijgegeven worden. Ieder bedrijf heeft het recht dat de gegevens goed beveiligd worden.
Conclusie
Vrijwel alle bedrijven krijgen op een manier te maken met het verwerken van persoonlijke gegevens. Persoonlijke gegevens zijn gegevens waarmee je een persoon mee kunt identificeren. Deze worden verwerkt op het moment de gegevens op een manier bewerkt worden. Je moet als bedrijf een geldige grondslag hebben om persoonlijke gegevens te mogen verwerken.
Het is altijd goed om een privacybeleid en privacyverklaring te maken. In sommige gevallen dient er ook een verwerkingsregister aanwezig te zijn. Het verwerken van persoonlijke gegevens brengt rechten en plichten met zich mee. Zorg er altijd voor dat je goed ingelezen bent in de AVG. Wil je zeker weten dat je privacyverklaring en -beleid juist zijn of worden opgesteld, neem dan contact om met een van onze juridisch adviseurs.
Vragen of contact
Heb je vragen over dit artikel, wil je een privacyverklaring of verwerkingsovereenkomst laten opstellen? Of heb je andere vragen over AVG en aanverwante juridische thema's? Stel deze dan gerust hieronder. Wij reageren dan snel. Je kunt ook direct een online consult inplannen door middel van onderstaande knop.