Wellicht heeft u er al iets over gehoord of gelezen; per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) zoals die nu in Nederland geldt, geldt dan niet meer. 

Wanneer krijgt u met de Algemene verordening gegevensbescherming te maken? 

De reikwijdte van de AVG strekt behoorlijk ver. Wanneer uw onderneming een website heeft, wanneer u personeel in dienst heeft, wanneer u als dienstverlener de belangen van uw klanten behartigt valt u onder de AVG. U maakt in deze gevallen tenslotte gebruik van persoonsgegevens van mensen. Dit zijn slechts enkele voorbeelden om aan te tonen dat u al gauw in aanraking komt met de AVG. 

Mag u persoonsgegevens verwerken? 

Onder de Algemene verordening gegevensbescherming mag u niet zomaar persoonsgegevens verwerken. U mag deze slechts verwerken voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Gegevens verzamelen omdat deze ‘in de toekomst nog wel eens van pas kunnen komen’ is dus niet toegestaan. Uw verwerking is gerechtvaardigd wanneer u het doel van de verwerking kunt baseren op één van de zes zogeheten wettelijke grondslagen. Kunt u de gegevensverwerking niet baseren op minimaal één van deze grondslagen? Dan heeft u niet het recht om de persoonsgegevens te verwerken. 

De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens: 

  • Toestemming van de betrokken persoon; 
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst; 
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting; 
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen; 
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag; 
  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen; 

Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden. 

Het verwerken van bijzondere en strafrechtelijke persoonsgegevens is niet toegestaan, tenzij u voldoet aan een aantal strengere eisen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid. Strafrechtelijke persoonsgegevens zijn bijvoorbeeld gegevens over strafrechtelijke veroordelingen. 

Welke rechten hebben betrokkenen wiens gegevens verwerkt worden? 

De AVG geeft mensen meer zeggenschap over hun persoonsgegevens. Ze hebben het recht om u te vragen welke gegevens u van hen heeft. Ze mogen u ook vragen deze gegevens in te zien. Verder geeft de AVG mensen het recht om onjuiste persoonsgegevens te laten wijzigen. Of om hun persoonsgegevens aan te vullen. Ook het recht van vergetelheid en van dataportabiliteit (overdraagbaarheid van persoonsgegevens) is opgenomen in de AVG. Het recht van vergetelheid houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene erom vraagt en het recht van dataportabiliteit houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie of onderneming van hen heeft, bijvoorbeeld om deze door te geven aan een andere leverancier of dienstverlener. Tenslotte heeft u onder de AVG een informatieplicht. Dit betekent dat u verplicht bent om betrokkenen duidelijk te informeren over wat u met hun persoonsgegevens doet.

Wat kunt u als onderneming doen om u voor te bereiden op de AVG? 

Zorg ervoor dat de relevante mensen in uw onderneming op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen. Onder de AVG krijgen de mensen van wie u persoonsgegevens verwerkt meer en verbeterde privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen. Breng uw gegevensverwerkingen in kaart; documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

Maak uw onderneming nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy by default en ga na hoe u deze beginselen binnen uw onderneming kunt invoeren. Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.

Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Heeft u uw gegevensverwerking uitbesteed aan een verwerker? (Denk hierbij bijvoorbeeld aan het uitbesteden van de loonadministratie). Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. 

Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven. 

Wilt u meteen persoonlijk geholpen worden met de AVG in uw bedrijf? Maak dan direct een afspraak met onze adviseur.