De 10 AVG vragen

Je wilt klanten benaderen, maar je weet niet of dit mag vanwege de AVG-privacyregels. Met de volgende 10 vragen weet je weke acties je moet ondernemen om aan de wet te voldoen. Zo voor kom je een boete en word je AVG-compliant.

De AVG-privacy wetgeving.

Sinds 25 mei 2018 geldt er voor de Europese Unie de privacywet Algemene Verordening Gegevensbescherming (AVG. Internationaal heet deze wet General Data Protection Regulation (GDPR). Door de AVG heb je als ondernemer verplichtingen bij het verwerken van persoonsgegevens. Je klanten, medewerkers en leveranciers moeten weten welke gegevens jij van ze hebt en kunnen voor zichzelf op komen als het gaat om verwerking van hun gegevens.

De Europese privacywet geldt voor alle bedrijven en organisaties die persoonsgegevens verwerken van klanten, personeel of andere personen uit de EU. Bijna elke ondernemer heeft te maken met privacygevoelige informatie, ook zzp’ers en kleine mkb’ers. De wet geldt oog voor de overheid, scholen, zorginstanties, verenigingen en stichtingen. Internationale bedrijven die zakendoen met de EU moeten zich eveneens houden aan de AVG. De grootte, type, werkzaamheden er diensten van je bedrijf bepalen welke AVG-maatregelen je moet nemen. Je krijgt er al mee te maken door het uitsturen van een offerte of nieuwsbrief. Of door het bijhouden van afspraken en contactgegevens van (toekomstige) klanten en medewerkers. Ook de gegevens die met cookies zijn gekoppeld zijn aan IP-adressen en volgsoftware zoals tracking vallen onder deze wet. Zelfs als je niet weet van wie gegevens zijn, moet je ze als privacygevoelige informatie behandelen.

Het volgende overzicht kun je meer inzicht krijgen in wat je kunt doen om AVG-compliant te worden.

1.    Welke persoonsgegevens verwerk je?

Ga na welke persoonsgegevens je verwerkt.

Persoonsgegevens zijn alle gegevens die direct over iemand gaan of die naar iemand te herleiden zijn.

Zoals naam, adres, telefoonnummer en/of Burgerservicenummer.

2.    Heb je een goede reden om persoonsgegevens te verwerken?

Persoonsgegevens mag je alleen verwerken wanneer je deze echt nodig hebt om je doel te bereiken, en het niet anders kan.

Je moet dus een goede reden, ook wel ‘grondslag’ hebben. Bijvoorbeeld dat je toestemming hebt van de persoon om wie het gaat.

3.    Is er een functionaris nodig voor gegevensbescherming nodig?

Voor sommige organisaties is er een functionaris voor gegevensbescherming nodig.

Dit is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG.

4.    Ben je verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren?

Bij het verwerken van gegevens met een (hoog) privacy risico is een DPIA verplicht. Deze moet je in ieder geval uitvoeren als je:

·        Bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische of biometrische gegevens op grote schaal verwerkt.

·        Op grote schaal en systematische mensen volgt in publieke toegankelijk gebied. Denk hierbij aan cameratoezicht.

·        Gegevens zo combineert dat iemand ik een bepaalde rubriek of groep is in te delen en daardoor kan worden benaderd of beoordeeld. Dit wordt profileren genoemd.

5.    Werk je volgens de uitgangspunten van privacy by design en privacy by default?

Zit je nog in de ontwerpfase van je nieuwe producten? Zorg dan dat je de producten of diensten persoonsgegevens goed beschermt.

Dit noemen we privacy by design. Daarnaast moeten standaardinstellingen de privacy van iemand respecteren tot dat de persoon zelf toestemming geeft.

Dit wordt privacy by default genoemd. Je mag bijvoorbeeld geen (web)formulieren gebruiken waarop al een vakje is aangevinkt.

6.    Moet je registratie van verwerkingsactiviteiten opstellen?

In een verwerkingsregister beschrijf je welke persoonsgegevens je gebruikt. Voor welk doel, waar je ze opslaat en met wie je eventueel deelt.

Je bent verplicht om met een register te werken als jouw organisatie:

·        Regelmatig persoonsgegevens verwerkt.

·        Bijzondere persoonsgegevens verwerkt, zoals gezondheid, godsdienst of politieke opvattingen.

·        Meer dan 250 medewerkers heeft.

Omdat het beheer van klant-, leveranciers- en personeelsbeheer vaak voorkomt zijn veel organisaties dus verplicht om een verwerkingsregister AVG bij te houden.

Als bijvoorbeeld klanten hun gegevens willen laten wijzigen of verwijderen heb je dit register nodig. Geef deze verzoeken ook door aan de organisatie waarmee je deze gegevens deelt.

Heb je geen goede reden (meer) om de persoonsgegevens te verwerken? Dan moet je deze verwijderen, de klant heeft namelijk recht op vergetelheid.

Dat betekent dat het bedrijf of de organisatie de klant ‘vergeet’.

7.    Neem je de correcte maatregelen om persoonsgegevens te beveiligen?

In de AVG staat dat je persoonsgegevens goed moet beveiligen. Bepaal welke technische en organistische maatregelen hiervoor nodig zijn.

Zorg voor een veilig (digitaal) bedrijf.

8.    Besteed je de verwerking van persoonsgegevens uit?

Zorg voor een goede verwerkingsovereenkomst met de organisatie aan wie je de gegevensverwerking uitbesteedt.

Je moet als ondernemer zeker zijn dat ook zij veilig met jouw data omgaan.

9.    Voldoe je aan de informatieplicht?

Maak een privacyverklaring, en stel deze in eenvoudige taal op. Zet daarin wat je doet met persoonlijke gegevens, waar je ze voor gebruikt, hoelang je ze bewaart en waarom dat belangrijk is.

Zorg dat deze verklaring makkelijk te vinden is, klanten hebben recht te weten wat er met hun gegevens gebeurt. Jij hebt de plicht hen hierover te informeren.

10. Ben je erop voorbereid als mensen hun privacy rechten willen uitoefen?

Klanten, of gebruikers hebben zeggenschap over hun gegevens en wat jij daarmee doet. Een klant mag inzage vragen in opgeslagen data of een eerdere toestemming intrekken.

Bereid jouw organisatie hierop voor. Klanten die denken dat hun persoonsgegevens niet volgens de privacywetgeving worden verwerkt, kunnen een privacy klacht indienen bij AP.

Als de klacht terecht is kun je een boete krijgen.