ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)
Je hebt er vast wel eens van gehoord, de Algemene Verordening Gegevensbescherming, kortweg AVG ( GDPR in het Engels). Deze verordening is al op 25 mei 2016 in werking getreden en zal vanaf 25 mei 2018 van toepassing zijn voor iedereen die persoonsgegevens verwerkt in de EU.
De AVG is een Europese verordening met als doel de bescherming van persoonsgegevens. Onder persoonsgegevens wordt verstaan: alle informatie die herleidbaar is naar een natuurlijke persoon. Hierbij moet je niet alleen denken aan namen, adressen, en geboortedata, maar bijvoorbeeld ook ip-adressen en cookies. Ook zakelijke e-mailadressen en doorkiesnummers die naar een specifieke persoon leiden vallen onder de persoonsgegevens. En dus onder de regels van de AVG.
De AVG geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, personeel of andere personen. Door het versturen van een offerte, factuur of (digitale) nieuwsbrief of het bijhouden van afspraken met klanten of personeelsinformatie krijg je als ondernemer al te maken met de AVG. Je moet aan kunnen tonen dat je de juiste organisatorische en technische maatregelen hebt genomen om aan de eisen te voldoen. Ook moet je kunnen bewijzen dat je geldige toestemming hebt gekregen voor het verwerken van de persoonsgegevens.
Rechten
De personen van wie jij gegevens verzamelt, krijgen onder de AVG een aantal rechten:
– Duidelijke doelformulering: Je moet duidelijk en expliciet aangeven met wel doel je gegevens verzamelt en je mag niet meer gegevens verzamelen dan wat voor jouw doel nodig is.
– Expliciete losse toestemming: Je moet expliciet voor elk doel apart toestemming vragen voor de verwerking van gegevens voor de door jou aangegeven doelen OF een andere juridische grondslag. Vakjes mogen dus niet meer vooraf aangevinkt zijn en je moet voor elk doel apart een vakje aanvinken.
– Recht op inzage, wijziging en verwijdering: Personen hebben het recht om inzage te krijgen in de gegevens die jij van hen verzamelt. Ook hebben ze het recht om deze gegevens te wijzigen en om ze te verwijderen, voor zover dit binnen de wet en de bedrijfsvoering mogelijk is.
– Recht op bezwaar: Personen hebben het recht om bezwaar te maken tegen de verzameling van hun gegevens.
– Recht op transport van gegevens in een gangbare vorm: Personen hebben het recht om de door jouw verwerkte gegevens, op hun eigen verzoek, over te laten dragen aan een andere verwerker.
Plichten
Naast dat de mensen van wie jij gegevens verzamelt een aantal rechten hebben, heb jij als verwerker van deze gegevens een aantal plichten:
– Meldplicht datalekken: ben je een USB-stick met gegevens kwijt, heb je ransomware of phishing op je computer of heeft iemand die daar geen toestemming voor heeft, toegang gehad tot door jouw verzamelde gegevens, dan moet je dit binnen 72 uur na het ontstaan van het lek melden bij de Autoriteit Persoonsgegevens. Ook moet je dit melden bij de personen van wie de gegevens gelekt zijn.
– Informatieplicht: Je moet jouw klanten en websitebezoekers informeren over de verwerking van hun gegevens. Dit doe je bijvoorbeeld door een eenvoudig leesbare privacyverklaring op je website te plaatsen.
– Documentatieplicht: Als ondernemer moet je aan kunnen tonen dat jij je aan de regels houdt. Dit kun je bijvoorbeeld doen door een verwerkingsregister bij te houden. Een verwerkingsregister is niet voor alle ondernemingen verplicht. Maar als jij bij een controle van de Autoriteit Persoonsgegevens laat zien dat je alles netjes bijhoudt, dan zul je ook vaak de ruimte krijgen om eventuele inhoudelijke foutjes te verbeteren zonder dat je meteen een boete krijgt.
– Ketenverantwoordelijkheid: Je bent waarschijnlijk niet de enige partij die toegang heeft tot de door jou verzamelde gegevens. Jouw e-mailprogramma heeft toegang tot alle e-mailadressen die je gebruikt, jouw boekhouder kan alle factuurgegevens van jouw klanten zien en ook jouw administratiepakket heeft toegang tot de gegevens van jouw klanten. Met al deze partijen moet jij afspraken maken door middel van verwerkersovereenkomsten. Grote partijen zoals Google hebben deze verwerkersovereenkomsten vaak in hun Algemene Voorwaarden verwerkt, of je kunt ze zo bij hen opvragen. Je hoeft deze overeenkomsten dus vaak niet zelf op te stellen, maar omdat jij wel de eindverantwoordelijke voor de door jou verzamelde gegevens bent, moet je ze wel hebben.
Nog strengere eisen
De meeste mkb-ondernemingen zullen onder de basisregels van de AVG vallen. Sommige ondernemingen moeten echter aan extra eisen voldoen. Dit is het geval in de volgende situaties:
– Jouw onderneming heeft meer dan 250 mensen in dienst
– Jouw onderneming verwerkt grote hoeveelheden persoonsgegevens
– Er worden structureel persoonsgegevens verwerkt
– Als de verwerking van de gegevens een risico vormt voor de betrokkene ( de persoon van wie de gegevens zijn)
– Jouw onderneming verwerkt bijzondere, gevoelige of strafrechtelijke gegevens.
Is 1 van deze situaties bij jou van toepassing? Dan raden wij je aan je te laten adviseren door een jurist, zodat je zeker weet dat je klaar bent voor de AVG.
Na het lezen van al deze rechten en plichten kan ik me voorstellen dat je denkt: waar moet ik beginnen? Geen nood wij helpen je op weg. Bel of mail ons en wij sturen je vrijblijvend een stappenplan met concrete stappen om de AVG te implementeren in jouw mkb-onderneming.