De Privacywet bevat allerlei regels die te maken hebben met de bescherming van persoonsgegevens. De Privacywet staat ook bekend als de Algemene Verordening Gegevensbescherming (AVG). Bij iedereen die te maken heeft met persoonsgegevens moet een belletje rinkelen als het gaat om deze regelgeving. Maar hoe je aan de eisen voldoet, is niet altijd even duidelijk. Daarom zetten wij de belangrijkste regels uit de AVG voor je op een rij.
Wat is de privacywet?
De AVG is opgesteld door de Europese Unie. Alle landen in de EU moeten zich dus houden aan de hierin opgestelde regels. Wat wij in Nederland de AVG noemen, heet in het Engels de GDPR, of General Data Protection Regulation. Een van de regels is dat je als bedrijf of organisatie verplicht bent om persoonsgegevens netjes te verwerken. Ook mag je alleen persoonsgegevens verzamelen en gebruiken voor zover dat echt nodig is.
Hierom is er een Privacywet
De Privacywet is in het leven geroepen om de privacy van personen (beter) te beschermen. De zorgvuldige omgang met persoonsgegevens die deze wet vereist, moet voor die bescherming zorgen. Het gaat om de persoonsgegevens van onder meer klanten, medewerkers en belangstellenden.
Volgens de AVG zijn persoonsgegevens de informatie die een persoon betreffen of direct naar iemand te herleiden zijn. Niet alleen een naam, adres, woonplaats en telefoonnummer vallen hieronder, maar ook bijzondere persoonsgegevens. Denk bij de laatstgenoemde soort aan gezondheid, politieke opvattingen, godsdienst, ras, strafrechtelijk verleden of seksuele geaardheid.
Wie moet zich aan de Privacywet houden?
De AVG geldt voor alle bedrijven, dus ook eenmanszaken, organisaties en overheidsinstanties die persoonsgegevens verwerken. De term ‘verwerken’ is breed. Hieronder valt het verzamelen, vastleggen, opslaan, bewaren, gebruiken, doorsturen, verspreiden, beschikbaar stellen en samenbrengen van persoonsgegevens.
Niet alleen bij het digitaal en/of geautomatiseerd verwerken van persoonsgegevens is de AVG geldend. Maar ook bij het handmatig verwerken van persoonsgegevens. En of je de persoonsgegevens nu zelf hebt verzameld of hebt gekregen van een ander: steeds is de Privacywet van toepassing.
Dat geldt in sommige gevallen ook als je een klein bedrijf hebt zonder medewerkers en met maar enkele klanten. Als je een factuur verstuurt of een nieuwsbrief verspreidt bijvoorbeeld.
Houd je je hier onterecht niet aan? De Autoriteit Persoonsgegevens is de toezichthouder over privacyrecht. Deze kijkt of bedrijven en organisaties zich aan de AVG houden. Gebeurt dat niet? Dan kan je een boete krijgen.
Checklist: ben jij AVG OK?
Voldoet je organisatie aan de AVG-wetgeving? Check het eenvoudig met onze gratis checklist.
- 15 checks om gelijk uit te voeren
- Kom erachter of jij aan de AVG voldoet
- Direct inzicht in wat je nog moet regelen
Negen tips om te voldoen aan de Privacywet
Misschien twijfel je. Voldoe je wel aan de AVG? Dat is begrijpelijk. De wet bevat veel juridische, technische en organisatorische eisen. Als bedrijf heb je je daaraan te houden. Deze negen tips kunnen je helpen om je twijfels weg te nemen.
Tip 1: check of je persoonsgegevens mag verwerken
Heb je met persoonsgegevens te maken? Dan moet je zeker weten dat je die mag verwerken. Daarvoor moet je aan minstens één van de volgende zes voorwaarden voldoen:
- je moet toestemming hebben van de betrokkene;
- het is van belang voor het uitvoeren van een overeenkomst. Een voorbeeld: je hebt een product verkocht aan een klant. Dan is het nodig om zijn/haar naam en adresgegevens te gebruiken om het product te kunnen bezorgen;
- om een wettelijke verplichting na te komen, moet je persoonsgegevens gebruiken;
- het is cruciaal voor het beschermen van iemands leven of gezondheid. En je kan deze persoon niet om toestemming vragen;
- het is nodig om een taak van algemeen belang uit te voeren; en/of
- het is om het gerechtvaardigd belang te behartigen. Een voorbeeld hiervan is het verwerken van persoonsgegevens in je administratie zodat je salaris kan uitbetalen.
Tip 2: wees proactief in het voldoen aan de Privacywet
Ben je van plan een nieuw product of een nieuwe dienst aan te bieden? Wees proactief. Zorg dat je persoonsgegevens goed beschermt vanaf het moment dat je ze in handen krijgt. Verwerk ook niet meer gegevens dan nodig. Zo:
- laat je personen vrij in hun keuze. Het vakje ‘ja, ik wil mij aanmelden voor de nieuwsbrief’ automatisch aanvinken, mag niet; en
- registreert je app niet zomaar de plaats van de gebruiker ervan.
Tip 3: informeer je klanten over hun rechten
Je ziet ze vaak verschijnen als je een webpagina opent: een melding over cookies. Het is een manier om klanten te informeren over hun rechten. Wel zo verstandig, want je klanten moeten eenvoudig van hun rechten over privacy gebruik kunnen maken.
Zo mogen ze hun eigen persoonsgegevens bekijken, aanpassen en (laten) verwijderen. Hebben ze toestemming voor het verwerken van hun persoonsgegevens gegeven? Dan mogen je klanten die toestemming (helemaal of voor een gedeelte) intrekken. Tot slot hebben ze het recht op dataportabiliteit. Met andere woorden: ze kunnen hun persoonsgegevens opvragen om daarmee naar een ander bedrijf over te stappen. Denk aan een tandartsdossier.
Zijn je klanten niet tevreden over hoe je met hun persoonsgegevens omgaat? In dat geval kunnen ze naar de Autoriteit Persoonsgegevens stappen om een klacht in te dienen.
Tip 4: laat zien hoe je persoonsgegevens verwerkt
Als verwerker van persoonsgegevens heb je een verantwoordingsplicht. Je moet altijd kunnen aantonen hoe je met persoonsgegevens omgaat. Daarom is het van belang een register aan te leggen. Daarin stel je vast welke persoonsgegevens je verwerkt. Ook beschrijf je de reden daartoe, waar ze vandaan komen en met wie je ze deelt. Met een boekhouder of een externe marketingadviseur bijvoorbeeld.
Vraagt een klant om de verwijdering van persoonsgegevens? Je bent dan verplicht om dit te laten weten aan degenen met wie je de data hebt gedeeld. Een register is dus niet alleen vereist, maar ook gemakkelijk voor jezelf. Zo houd je altijd overzicht.
Als je persoonsgegevens deelt met derden, dan heb je toestemming nodig van je klant. Leg dit vast in een schriftelijke overeenkomst om problemen achteraf te voorkomen.
Tip 5: een hoog privacyrisico? Ga na of het uitvoeren van een DPIA vereist is
Een DPIA is een Data Protection Impact Assessment. Met een DPIA onderzoek je grondig wat de risico’s van het verwerken van persoonsgegevens zijn. Ken je de risico’s? Dan kan je ervoor zorgen dat die kleiner worden.
Kenmerken van een hoog privacyrisico zijn:
- je evalueert systematisch en uitgebreid persoonlijke aspecten door geautomatiseerde verwerking. Een voorbeeld is profiling. Door die evaluaties neem je besluiten met gevolgen voor personen;
- je verwerkt op grote schaal bijzondere of strafrechtelijke gegevens;
- je volgt systematisch en op grote schaal personen in een publiek toegankelijk gebied, zoals met camera’s in een winkelcentrum.
In dat geval is dus een DPIA nodig.
Zelf de AVG regelen voor jouw organisatie?
Regel alle onderdelen van de AVG zelfstandig via onze online werkomgeving, zonder duizenden euro’s uit te geven aan juridisch advies.
Tip 6: maak de verwerkersovereenkomst in orde
Werk je samen met een bedrijf of organisatie? Of huur je een ander bedrijf in dat in jouw opdracht en/of volgens jouw instructies persoonsgegevens verwerkt? Dan moet je een verwerkersovereenkomst met hen sluiten. Van een boekhouder tot een externe klantenservice en van een dochteronderneming tot een in het buitenland gevestigde sociale media-adviseur.
Misschien heb je ooit al eens een bewerkersovereenkomst opgesteld. Die was verplicht onder de Wet bescherming persoonsgegevens (Wbp). De nieuwe Europese Privacywet kent strengere regels. Zorg dus dat je verwerkersovereenkomst up-to-date is.
Tip 7: vraag toestemming als dat nodig is
Geregeld is er toestemming vereist van de betrokkenen voor het verwerken van persoonsgegevens. Wanneer, hoe je deze vraagt en krijgt en hoe je die vervolgens vastlegt, verschilt. Eén ding staat vast. Als je toestemming moet hebben, dan is bewijs vereist. Een schriftelijke overeenkomst waarin de toestemming is verleend bijvoorbeeld.
Tip 8: meld datalekken
Bewust of onbewust kunnen persoonsgegevens gelekt worden. Denk aan het mailen van persoonsgegevens naar een verkeerd geadresseerde. Of diefstal door cybercriminelen en een besmetting met ransomware. Een ander voorbeeld is het verliezen van een tablet, usb-stick of papier waarop niet-versleutelde persoonsgegevens staan.
Gaat het om een ernstig datalek, dan is een melding aan de Autoriteit Persoonsgegevens verplicht. Ook documenteer je het datalek. Soms informeer je ook de betrokkenen, wanneer het datalek substantiële gevolgen heeft voor hun rechten en vrijheden.
Werk je voor een opdrachtgever en is er sprake van een datalek, dan geef je dat zo snel mogelijk door aan je opdrachtgever. Zo kan die een melding bij de Autoriteit Persoonsgegevens doen.
Tip 9: check of je een functionaris voor de gegevensbescherming (FG) moet hebben
Verplicht (omdat je een groot aantal persoonsgegevens verwerkt) of vrijwillig kan je een FG aanstellen. Die checkt of je bedrijf of organisatie zich aan de AVG houdt.
Veelgestelde vragen over de privacywet
Ja, en dat niet alleen. Je weet namelijk dat je aan de regels uit de AVG voldoet. Maar óók ontvang je na het doorlopen van het stappenplan een persoonlijke AVG-Verklaring. Daarmee toon je direct aan hoe de verwerking van persoonsgegevens in jouw bedrijf of organisatie geregeld is.
Als ondernemer moet je voldoen aan de belangrijkste vereisten van de Privacywet. Dit omvat onder andere:
– het verzamelen en verwerken van persoonsgegevens op een rechtmatige, eerlijke en transparante manier;
– het beschermen van gegevens tegen verlies of diefstal;
– het informeren van betrokkenen over de verwerking van hun gegevens; en
– het waarborgen van de rechten van betrokkenen, zoals het recht op inzage, correctie en verwijdering van gegevens.
Als je als ondernemer een datalek constateert, moet je direct actie ondernemen. Denk aan het vaststellen van de omvang en impact van het datalek. Ook het melden ervan aan de betrokkenen en, zo nodig, aan de toezichthoudende autoriteit is verplicht. Je moet ook maatregelen nemen om verdere schade te voorkomen. En het datalek documenteren voor toekomstige referentie en naleving van de wet.