Yeaz Blogs

AVG VOOR ONDERNEMERS: DIT MOET JE WETEN

Posted by author-avatar

AVG voor ondernemers: dit moet je weten

Wanneer je als ondernemer werkt met persoonsgegevens, dan geldt voor jou de privacywet Algemene Verordening Gegevensbescherming (AVG). Sinds 2018 is deze wet van kracht in de hele Europese Unie om zo persoonsgegevens nog beter te beschermen. Maar dit is een wet met veel oogjes en haakjes. Dat kan nog weleens overweldigend overkomen. Wij zetten daarom nu voor jou op een rijtje waar je als ondernemer allemaal rekening mee moet houden.

1. Duidelijk doel en grondslag

Er zijn verschillende soorten gegevens. Je mag persoonsgegevens alleen verzamelen en verwerken als je daar een goede reden voor hebt. Denk hierbij aan toestemming van de betrokkene of wettelijke verplichting (bijvoorbeeld voor de Belastingdienst). Je mag dus geen enkele gegevens ‘voor de zekerheid’ vragen of bewaren. Dan zijn er ook nog bijzondere en gevoelige persoonsgegevens. Denk hierbij aan iemands ras, politieke voorkeur of BSN-nummers en financiële gegevens.

2. Controleer of je een grondslag hebt om persoonsgegevens te verwerken

Je moet een goede grondslag ofwel reden hebben om persoonsgegevens te verwerken. In de AVG staan zes grondslagen:
Toestemming: je hebt toestemming van de desbetreffende persoon om wie het gaat om de gegevens te verwerken.
Uitvoering van de overeenkomst: je hebt de persoonsgegevens nodig om een overeenkomst uit te voeren. Denk bijvoorbeeld aan wanneer iemand een online product bij jou koopt en je voor de bezorging de NAW-gegevens nodig hebt.
Wettelijke verplichting: in sommige gevallen is het wettelijk verplicht om persoonsgegevens te bewaren, bijvoorbeeld voor de Belastingdienst of wanneer de politie een bevel heeft voor het verkrijgen van persoonsgegevens.

Vitale belangen: er wordt gesproken van een vitaal belang wanneer het gaat om een belang dat essentieel is voor iemands leven of gezondheid en er geen toestemming gevraagd kan worden. Bijvoorbeeld wanneer iemand bewusteloos is.

Algemeen belang of uitoefening van openbaar gezag: het is een grondslag om gegevens te mogen verwerken wanneer het voor algemeen belang of openbaar gezag is. Denk hierbij aan cameratoezicht op openbare plekken voor veiligheid.

Gerechtvaardigd belang: de Autoriteit Persoonsgegevens (AP) heeft aangegeven dat hier sprake van is wanneer een verwerking van de persoonsgegevens aantoonbaar noodzakelijk is om bedrijfsactiviteiten te kunnen verrichten. Denk hier bijvoorbeeld aan het verwerken van personeelsadministratie.

3. Leg het vast

Wanneer je goed voor je hebt welke gegevens je verwerkt, met welk doel en op welke grondslag, is het goed om dit vast te leggen. Het is belangrijk dat je namelijk goed kunt onderbouwen op welke grondslag de verwerking van toepassing is en dit registreert in de privacyverklaring. De meeste bedrijven doen dit in hun online privacyverklaring. Je hebt als ondernemer namelijk de plicht om te informeren over de verwerking van persoonsgegevens.

Verwerkingsregister
Het verwerkingsregister geeft informatie over de persoonsgegevens die je verwerkt. In bijna alle gevallen is het als ondernemer verplicht om een verwerkingsregister te hebben, ook voor kleine ondernemers. Je mag zelf bepalen hoe je een verwerkingsregister opstelt. Wel zijn er vanuit de AVG eisen welke informatie er sowieso in moet:

  • De grondslag waarom je de persoonsgegevens verwerkt
  • De doelen van de persoonsgegevens
  • Van wie je de persoonsgegevens verwerkt
  • Om wat voor persoonsgegevens het gaat
  • Welke maatregelen je hebt getroffen om de persoonsgegevens te beveiligen

4. Hoe beveilig je de persoonsgegevens?

In de AVG staat ook dat het je verantwoordelijkheid is om de persoonsgegevens goed te beveiligen. Slechte beveiliging kan namelijk leiden tot een datalek. Een goede beveiliging van de data is afhankelijk van de situatie. Hier past geen ‘one size fits all’ oplossing.

  • Gebruik https: bij het gebruik van https voorkom je dat onbevoegde derden mee kunnen lezen. Dit certificaat kun je eenvoudig aanvragen.
  • Risico’s afwegen bij online diensten: er bestaan geen expliciete regels in de AVG over het gebruiken van onlinediensten zoals apps of clouddiensten. Wel kan het soms worden gezien als een gebrek in beveiliging, bijvoorbeeld wanneer je een gratis clouddienst gebruikt voor al je persoonsgegevens.
  • Veilig mailen: er zijn maatregelen die je kunt treffen om te voorkomen dat onbevoegden mee kunnen lezen in je mail. In de AVG staat niet precies welke dit zijn, maar wel dat ze passend moeten zijn. Een voorbeeld van zo’n maatregel is het versleutelen van de persoonsgegevens.

5. Privacyrechten

Er zijn verschillende rechten om controle te houden over hun persoonsgegevens. Denk hierbij aan: recht op informatie, recht op inzage en recht op gegevens verwijderen. Het is dus belangrijk dat je goed luistert naar je klanten die gebruik willen maken van hun rechten.

De AVG is er om persoonsgegevens te beschermen. Geen reden voor paniek, maar wél iets om serieus te nemen. Zorg dat je het goed regelt. Dan zit je als ondernemer gewoon goed én voorkom je gedoe achteraf. Zo houd jij de focus op waar het echt om draait: ondernemen.

Newer
ONDERNEMER IN DE SPOTLIGHT
Back to list
Older ONDERNEMER IN DE SPOTLIGHT